Kostenlose Security-Programme
Hilfreiche Sicherheits-Tools aus Microsofts Windows Sysinternals
Ereignisanzeigen sammeln – PSLoglist
Mit PSLoglist aus der PSTools-Sammlung können Sie über die Befehlszeile die Ereignisanzeigen verschiedener Computer einsammeln, anzeigen und vergleichen.
|
„@<Datei>“ |
Führt den Befehl auf allen Computern aus, die in der Datei aufgelistet sind. Jeder Computer muss dazu in einer eigenen Spalte in der Textdatei stehen. Die entsprechenden Ereignisse der Computer werden hierüber also gesammelt. |
|
–a |
Zeigt die Einträge nach dem genannten Datums an. Als Format wird dd/mm/yy verwendet. |
|
–b |
Zeigt die Einträge vor dem genannten Datum an. |
|
–c |
Löscht die entsprechenden Ereignisanzeigen nach der Anzeige über PSLogList. Dies ist zum Beispiel bei der Abfrage über eine Batchdatei sinnvoll. |
|
–d |
Zeigt nur die Einträge der letzten n Tage an. Dabei werden die letzten Tage als <n> hinter der Option mit angegeben. |
|
–e |
Filtert Einträge mit definierten IDs aus. Die Syntax entspricht der Option –i weiter unten. |
|
–f |
Filtert Ereignisse mit bestimmten Typen aus (–f w filtert Warnungen). Es können beliebige Buchstaben verwendet werden. Es werden nur Ereignisse die mit den entsprechenden Buchstaben anfangen angezeigt. |
|
–h |
Zeigt nur Einträge der letzten n Stunden. Die Syntax entspricht der Option –d weiter oben. |
|
–i |
Zeigt nur Einträge mit den definierten IDs. Es können auch mehrere IDs kommagetrennt angezeigt werden. |
|
–l |
Speichert Einträge der definierten Ereignisanzeige. |
|
–m |
Zeigt nur Einträge der letzten n Minuten. |
|
–n |
Zeigt nur die aktuellsten definierten Einträge an. |
|
–o |
Zeigt nur die Einträge der spezifizierten Ereignisquelle (zum Beispiel \–o cdrom\). Diese Option schließt in der Ausgabe also zusätzliche Informationen ein. |
|
–p |
Gibt das Kennwort für den konfigurierten Benutzer an. Geben Sie kein Kennwort ein, fragt das Tool notfalls nach. Dabei wird das Kennwort nicht in Klartext angezeigt oder über das Netzwerk geschickt. |
|
–q |
Zeigt die Einträge der spezifizierten Ereignisquelle nicht an (zum Beispiel \–q cdrom\). Benutzerdefinierte Einträge werden so von der Ausgabe ausgeschlossen. Sollen mehrere Quellen von der Ausgabe ausgeschlossen werden, müssen diese durch Komma voneinander getrennt werden. |
|
–r |
Speichert die Einträge aufsteigend ab. |
|
–s |
Hier werden die Einträge kommabasiert angezeigt, um diese zum Beispiel in einer Excel-Tabelle oder SQL-Datenbank zu speichern. Nach der Auswertung kann zum Beispiel über den Befehl start die CSV-Datei sofort geöffnet und angezeigt werden. |
Das Programm hat darüber hinaus zahlreiche Optionen, welche beim Abfragen der Ereignisanzeigen viele verschiedene Vergleichsmöglichkeiten bieten. Wenn Sie das Tool ohne Optionen aufrufen, zeigt PSLoglist alle Einträge des lokalen System-Ereignisprotokolls an. Ein Aufruf sich demnach wie folgt zusammen setzen:
psloglist [– ] [\\<Computer>[,<Computer>[,...] | @<Datei> [–u <Benutzername>[–p <Kennwort>]]] [–s [–t delimiter]] [–m #|–n #|–h #|–d #|–w][–c][–x][–r][–a mm/dd/yy][–b mm/dd/yy][–f filter] [–i ID[,ID[,...] | –e ID[,ID[,...]]] [–o event source[,event source][,..]]] [–q event source[,event source][,..]]] [–l event log file] <eventlog>
Die erwähnten Kommandozeilenprogramme gehören zu den PSTools, die zum Download bei den Windows Sysinternals parat stehen. (mje)