Comment capturer les évènements de sécurité (échec login) de l'observateur de Windows.
Le
Teddy
Bonjour,
J'utilise le code ci-dessous pour capturer les évènements de sécurité (échec de login selon la
stratégie d'audit que j'ai définie) de l'observateur de Windows.
' CAPTURE données de l'Observateur d'évènements : requête WQL
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Security)}!\\" & TComputer
& "oot\cimv2")
Set colLoggedEvents = objWMIService.ExecQuery _
("Select * FROM Win32_NTLogEvent WHERE Logfile = 'Security'")
For Each objEvent in colLoggedEvents ' -> Parcourt les objEvent de la collection
Rset1.AddNew
Rset1.Fields(0) = objEvent.Category
Rset1.Fields(1) = objEvent.ComputerName
Rset1.Fields(2) = objEvent.EventCode
Rset1.Fields(3) = objEvent.Message
Rset1.Fields(4) = objEvent.RecordNumber
Rset1.Fields(5) = objEvent.SourceName
var = objEvent.TimeWritten
var = Mid(Var,7,2)&"/"&Mid(Var,5,2)&"/"&Mid(Var,1,4)&"
"&Mid(Var,9,2)&":"&Mid(Var,11,2)&":"&Mid(Var,13,2)
Rset1.Fields(6) = var
Rset1.Fields(7) = objEvent.Type
Rset1.Fields(8) = objEvent.User
Rset1.Update
Next
Le problème, c'est qu'il manque des infos concernant les propriétés d'un évènement (celles qui
s'affichent quand on fait un clic droit sur un évènement dans la liste de l'observateur de Windows).
Auriez-vous des idées ?
Merci beaucoup par avance.
Teddy
J'utilise le code ci-dessous pour capturer les évènements de sécurité (échec de login selon la
stratégie d'audit que j'ai définie) de l'observateur de Windows.
' CAPTURE données de l'Observateur d'évènements : requête WQL
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Security)}!\\" & TComputer
& "oot\cimv2")
Set colLoggedEvents = objWMIService.ExecQuery _
("Select * FROM Win32_NTLogEvent WHERE Logfile = 'Security'")
For Each objEvent in colLoggedEvents ' -> Parcourt les objEvent de la collection
Rset1.AddNew
Rset1.Fields(0) = objEvent.Category
Rset1.Fields(1) = objEvent.ComputerName
Rset1.Fields(2) = objEvent.EventCode
Rset1.Fields(3) = objEvent.Message
Rset1.Fields(4) = objEvent.RecordNumber
Rset1.Fields(5) = objEvent.SourceName
var = objEvent.TimeWritten
var = Mid(Var,7,2)&"/"&Mid(Var,5,2)&"/"&Mid(Var,1,4)&"
"&Mid(Var,9,2)&":"&Mid(Var,11,2)&":"&Mid(Var,13,2)
Rset1.Fields(6) = var
Rset1.Fields(7) = objEvent.Type
Rset1.Fields(8) = objEvent.User
Rset1.Update
Next
Le problème, c'est qu'il manque des infos concernant les propriétés d'un évènement (celles qui
s'affichent quand on fait un clic droit sur un évènement dans la liste de l'observateur de Windows).
Auriez-vous des idées ?
Merci beaucoup par avance.
Teddy
Poser une question
Essayer .InsertionStrings
Clive
Quand on récupère le contenu de objEvent.Message, il faut penser à supprimer les <CR> et autres
caractères interdits dans une base de données. Les évènements ne sont plus tronqués. Tout y est.
Super non ?
" Teddy" OiEDsg0$