Workshop - Log-Dateien auf Windows-Systemen auswerten

Zugriff von der Kommandozeile und mithilfe der PowerShell

Wer die Ereignisprotokolldateien mithilfe von Scripts auslesen und auswerten möchte, kann dazu mehre Wege einschlagen. Viele Administratoren dürften ein spezielles Microsoft-Tool kennen, das schon eine ganze Zeit lang zur Verfügung steht: den Log Parser.

Aktuell steht diese Software in der Version 2.2 zum kostenlosen Download bereit. Obwohl auf dieser Seite vermerkt wird, dass diese Software nur für Windows 2000, Windows XP und Server 2003 geeignet sei, arbeitet sie problemlos mit Windows Server 2008 R2 zusammen.

Der Vorteil dieser Lösung besteht darin, dass Sie damit eine Log-Datei mithilfe einer SQL-ähnlichen Syntax abarbeiten können. Allerdings sind Syntax und Einsatzmöglichkeiten dieser Software so umfangreich und damit entsprechend komplex, dass eine genauere Beschreibung ihres Einsatzes den Umfang dieses Artikels bei Weitem sprengen würde.

Neben Beispielen im Script-Center des TechNets besitzt die Software selbst eine ganze Reihe von Hilfefunktionalitäten, die zudem eine ganze Reihe von - auch komplexeren - Beispielen beinhalten. Alle Systemadministratoren, die sich auf diese Software verlassen, sollten aber immer bedenken, dass sie seit 2005 kein Update mehr erfahren hat.

Deshalb ist es sicher weitaus sinnvoller, mit der PowerShell zu arbeiten. Sie bietet mit dem Cmdlet Get-Eventlog eine sehr gute Möglichkeit, auf die entsprechenden Daten zuzugreifen. War es bis zu Windows Server 2008 nicht möglich, sie auch auf den Core-Systemen (Windows-Server-Installationen ohne grafische Oberfläche) einzusetzen, so ist diese Einschränkung seit der Verfügbarkeit der R2-Version von Windows Server 2008 aufgehoben: Mit der aktuellen PowerShell 2.0 können die entsprechenden Scripts nun auch auf dieser Plattform laufen - für Administratoren ein entscheidender Vorteil.