Parser un fichier evènement .EVT

Le
Niet
Bonjour,

Je désire connaitre lire le journal des évènements d'un autre ordinateur
XP, mais la lecture en direct est impossible, il s'agit de fichiers EVT,
j'ai donc installé le logiciel logparser pour "extraire les données" du
journal d'évènement de XP afin de les convertir en CSV

mais le logiciel logparser n'étant pas très intuitif, quelqu'un
connaitrait la commande à utiliser


j'ai essayé avec la ligne de commande suivante

logparser "SELECT" * INTO sysevent.csv FROM
c:windowssystem32configsysevent.evt -i:EVT -o:CSV

mais j'ai
Elements precessed : 0
Elements output : 0
Execution time : 0,20 seconds

mais il ne ressort aucun extrait
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gloops
Le #1135621
Niet a écrit, le 01/01/2008 17:08 :
j'ai essayé avec la ligne de commande suivante

logparser "SELECT" * INTO sysevent.csv FROM
c:windowssystem32configsysevent.evt -i:EVT -o:CSV



Bonjour,

Avant d'avoir regardé la doc, je serais tenté de proposer de fermer l e
guillemet à la fin de la ligne (après -o:CSV) plutôt qu'après SEL ECT.

En lisant la doc, je découvrirai peut-être que je viens de dire une â nerie.

Gloops
Le #1135485
Gloops a écrit, le 01/01/2008 17:31 :
Niet a écrit, le 01/01/2008 17:08 :
j'ai essayé avec la ligne de commande suivante

logparser "SELECT" * INTO sysevent.csv FROM
c:windowssystem32configsysevent.evt -i:EVT -o:CSV



Bonjour,

Avant d'avoir regardé la doc, je serais tenté de proposer de fermer le
guillemet à la fin de la ligne (après -o:CSV) plutôt qu'après S ELECT.

En lisant la doc, je découvrirai peut-être que je viens de dire une ânerie.




Effectivement, un premier coup d'œil à la doc laisse entendre que le
guillemet se ferme avant les options, donc juste après configsysevent. evt


Gloops
Le #1135482
Un essai donne ceci :
========================= ========================= ==============
logparser "SELECT * INTO sysevent.csv FROM
c:windowssystem32configsysevent.

evt" -i:EVT -o:CSV
Task aborted.
Cannot open <from-entity>: Error opening event log
"\?c:windowssystem32c
onfigSysEvent.Evt": Le processus ne peut pas accéder au fichier car ce
fichier est utilisé par un autre processus.

Statistics:
-----------
Elements processed: 0
Elements output: 0
Execution time: 0.02 seconds
========================= ========================= ==============

En clair, ce fichier étant verrouillé en permanence par Windows, pas
évident d'y accéder depuis un programme.

En revanche, cette ligne de commande tirée de l'aide du programme sembl e
plus prometteuse :

LogParser -i:EVT -o:NAT "SELECT TimeGenerated, EventTypeName, SourceName
FROM System"

Peut-être bien qu'un ou deux autres champs pourraient rendre le résul tat
plus explicite. On peut mettre * pour les avoir tous (SELECT * FROM
System), mais avec l'inconvénient que le résultat n'est pas très
lisible, il faudra se bagarrer avec les formats. Sinon en fouillant dans
la doc on trouve peut-être bien la liste des champs ou le moyen de
l'obtenir.

___________________________________
Niet a écrit, le 01/01/2008 17:08 :
Bonjour,

Je désire connaitre lire le journal des évènements d'un autre ord inateur
XP, mais la lecture en direct est impossible, il s'agit de fichiers EVT ,
j'ai donc installé le logiciel logparser pour "extraire les données " du
journal d'évènement de XP afin de les convertir en CSV

mais le logiciel logparser n'étant pas très intuitif, quelqu'un
connaitrait la commande à utiliser


j'ai essayé avec la ligne de commande suivante

logparser "SELECT" * INTO sysevent.csv FROM
c:windowssystem32configsysevent.evt -i:EVT -o:CSV

mais j'ai
Elements precessed : 0
Elements output : 0
Execution time : 0,20 seconds

mais il ne ressort aucun extrait


Gloops
Le #1135342
En relisant j'ai l'impression que ceci correspond à ce que tu veux fair e :

logparser -i:EVT -o:CSV "SELECT * INTO sysevent.csv FROM System"

Dans le répertoire courant tu obtiendras un fichier sysevent.csv, qu'un
tableur saura te présenter de façon lisible.

J'ai fait les tests avec les droits administrateur.

___________________________________
Niet a écrit, le 01/01/2008 17:08 :
Bonjour,

Je désire connaitre lire le journal des évènements d'un autre ord inateur
XP, mais la lecture en direct est impossible, il s'agit de fichiers EVT ,
j'ai donc installé le logiciel logparser pour "extraire les données " du
journal d'évènement de XP afin de les convertir en CSV

mais le logiciel logparser n'étant pas très intuitif, quelqu'un
connaitrait la commande à utiliser


j'ai essayé avec la ligne de commande suivante

logparser "SELECT" * INTO sysevent.csv FROM
c:windowssystem32configsysevent.evt -i:EVT -o:CSV

mais j'ai
Elements precessed : 0
Elements output : 0
Execution time : 0,20 seconds

mais il ne ressort aucun extrait


Niet
Le #1135339
logparser "SELECT * INTO sysevent.csv FROM
c:windowssystem32configsysevent.
evt" -i:EVT -o:CSV
Task aborted.
Cannot open <from-entity>: Error opening event log
"\?c:windowssystem32c
onfigSysEvent.Evt": Le processus ne peut pas accéder au fichier car ce
fichier est utilisé par un autre processus.

Statistics:
-----------
Elements processed: 0
Elements output: 0
Execution time: 0.02 seconds
=============================================================== >
En clair, ce fichier étant verrouillé en permanence par Windows, pas
évident d'y accéder depuis un programme.



Effectivement j'ai eu ceci, j'ai donc copié en double le fichier
evènement à analyser, example secevent2

logparser "SELECT * INTO sysevent2.csv FROM
c:windowssystem32configsysevent2.evt" -i:EVT -o:CSV

Elements processed: 0
Elements output: 0
Execution time: 0.02 seconds

mais je n'ai toujours aucune sortie, je dois buter sur la séquence SQL

merci pour ce coup de main Gloops

Bonne année !

Niet
Le #1135207
En relisant j'ai l'impression que ceci correspond à ce que tu veux faire :

logparser -i:EVT -o:CSV "SELECT * INTO sysevent.csv FROM System"

Dans le répertoire courant tu obtiendras un fichier sysevent.csv, qu'un
tableur saura te présenter de façon lisible.

J'ai fait les tests avec les droits administrateur.

Un grand merci, c'était ça !


bigre, rebonne année à toi et à tous !

Gloops
Le #1135206
Niet a écrit, le 01/01/2008 18:43 :
Effectivement j'ai eu ceci, j'ai donc copié en double le fichier
evènement à analyser, example secevent2

logparser "SELECT * INTO sysevent2.csv FROM
c:windowssystem32configsysevent2.evt" -i:EVT -o:CSV



Ah oui ça j'ai essayé aussi, mais il est trop verrouillé pour pouvo ir
être copié.

Publicité
Poster une réponse
Anonyme