Безопасность IIS

       

Экспорт журналов в текстовые файлы


В файлы журнала можно записать неограниченное количество информации. В реальной жизни такой объем затрудняет работу. Иногда информацию экспортируют в текстовый файл и открывают в программе типа электронных таблиц или баз данных. В этих программах можно отсортировать списки по номерам событий или осуществить поиск определенных сообщений. Журналы IIS автоматически сохраняются в текстовом формате, а вот файлы журналов Windows 2000 необходимо преобразовывать.

Это делается двумя способами. Используйте команду Save As (Сохранить как) в программе Event Viewer (Просмотр событий) для сохранения файла в виде текста с разделителями-табуляцией либо в формате файла с разделителями-запятыми (CSV). Можно вывести журнал событий с помощью программы dumpel.exe – средства командной строки, доступного для загрузки по адресу http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp.

При обращении к прежним журналам для получения информации этот метод значительно облегчит задачу. Dumpel.exe преобразовывает журнал событий локальной или удаленной системы в текстовый файл с разделителями-табуляцией и осуществляет фильтрацию файла для нахождения искомой информации, руководствуясь указанными в командной строке параметрами. В программе dumpel.exe используется следующий синтаксис:

dumpel.exe –f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3…] [-r] [-t] [-d x]

  • -f file – указывает имя результирующего файла. Для параметра –f не установлено значение по умолчанию, поэтому обязательно укажите файл.
  • -s \\server – указывает сервер, для которого записывается журнал событий. Обратные слэши перед именем сервера вводить необязательно.
  • -l log – определяет, какой журнал (системный журнал, журнал приложений, журнал безопасности) следует записать. Если указано неправильное имя журнала, то записывается журнал приложений.
  • -m source – указывает, в каком источнике (например, редиректор (rdr), последовательный порт и т.д.) следует преобразовать записи журнала в текстовый файл. Если указан источник, не зарегистрированный в реестре Windows, в журнале приложений будет осуществлен поиск записей данного типа.
  • -e n1 n2 n3 – осуществляет фильтрацию события с идентификатором nn (можно указать до 10 элементов). При использовании ключа -r будут записываться только записи этих типов. Если ключ -r не используется, будут выбраны все события из указанного источника. Данный параметр нельзя использовать без ключа -m.
  • -r – указывает, нужно ли осуществлять фильтрацию для поиска определенных источников или записей, либо отбросить их.
  • -t – указывает, что отдельные строки разделяются символами табуляции. Если параметр -t не используется, строки разделяются пробелами.
  • -d x – записывает события за последние x дней.



Содержание раздела