Please enable JavaScript to view this site.

Navigation: Verwaltungskonsole / Dienstprogramme > Utilities

Log Import Utility

Scroll Prev Top Next More

Mit dem EventSentry-Log-Import-Dienstprogramm können Sie zuvor gesicherte Ereignisprotokolldateien (.evtx) oder Protokolldateien (z. B. IIS, DHCP usw.) in eine EventSentry-Datenbank importieren, so dass sie in den webbasierten Berichten durchsuchbar sind.

 

Vorteile

Das EventSentry-Dienstprogramm zum Importieren von Ereignisprotokollen ist nützlich für Administratoren, die alle ihre Ereignisprotokolle regelmäßig automatisch mit EventSentry sichern, jedoch mit begrenzter Datenbankspeicherung. Mit dem Dienstprogramm können die gesicherten .evtx-Dateien jederzeit in die Datenbank importiert werden. Sie können das Dienstprogramm auch verwenden, um EVTX-Dateien zu importieren, die vor der Verwendung von EventSentry gesichert wurden.

 

Sie können das Dienstprogramm auch verwenden, um abgegrenzte und nicht abgegrenzte Protokolldateien in die EventSentry-Datenbank zu importieren. Da das Dienstprogramm Befehlszeilenparameter unterstützt und geräuschlos ausgeführt werden kann, ist es besonders nützlich für den Import von Protokolldateien auf einer geplanten Basis.

 

clip0040

 

 

Starten Sie das Dienstprogramm auf einem Computer, auf dem Sie EventSentry installiert haben, mit der Setup-Anwendung, einschließlich der Komponente Verwaltungskonsole. Sie können das Dienstprogramm dann entweder über das Startmenü (Start -> Programme -> EventSentry -> EventSentry Datenbank-Import-Dienstprogramm) oder durch Auswahl von "Tools -> Utilities -> Database Import Utility" starten.

 

Wenn Sie eine Ereignisprotokoll-Rückdatei importieren, können Sie auch mit der rechten Maustaste auf den Container "Event Log Viewer (Local)" in der Management-Konsole klicken und "Import Log File to Database" wählen.

 

 

Importieren von Ereignisprotokoll-Sicherungsdateien

Wählen Sie die Sicherungsdatei des Ereignisprotokolls (.evtx) und wählen Sie den Typ des Ereignisprotokolls, den die Datei enthält. Wenn der Dateiname entweder die Zeichenfolgen "app", "sec", "sys", "dns", "rep" oder "dir" enthält, erkennt EventSentry das Ereignisprotokoll automatisch und wählt das Ereignisprotokoll voraus. Es ist wichtig, sicherzustellen, dass die Ereignisprotokollauswahl korrekt ist, damit das Datenbankimport-Dienstprogramm weiß, wie Ereignisprotokoll-IDs in echte Meldungen übersetzt werden können.

 

Einschränkungen

Wenn die Gesamtzahl der von Ihnen erworbenen EventSentry-Lizenzen weniger als 10 beträgt, muss der Computer, von dem Sie die Ereignisprotokoll-Sicherungsdatei importieren, in einer EventSentry-Gruppe vorhanden sein. Wenn der Computer nicht vorhanden ist, müssen Sie den Computer über die Verwaltungskonsole zu einer Gruppe hinzufügen und das Dienstprogramm neu starten.

 

Importieren von getrennten und nicht getrennten Protokolldateien

Wählen Sie eine abgegrenzte oder nicht abgegrenzte Protokolldatei zum Importieren aus. Wenn Sie eine abgegrenzte Protokolldatei importieren, muss eine Protokolldatei-Definition vorhanden sein, damit die Datei korrekt importiert werden kann. Wenn keine Definition vorhanden ist, müssen Sie das Dienstprogramm schließen und zuerst eine Protokolldatei-Definition erstellen.

 

Das Datenbankimport-Dienstprogramm aktualisiert automatisch die Werte "Anzahl der Zeilen" und "Dateigröße" im Abschnitt "Importfortschritt", nachdem eine Datei mit der Schaltfläche "Durchsuchen" ausgewählt wurde. Das Dienstprogramm erkennt auch automatisch, ob eine Datei ein Unix-Zeilentrennzeichen enthält, und importiert diese Dateien ebenfalls korrekt.

 

Ziel

Wählen Sie die Datenbankbenachrichtigungsaktion, in die Sie die Daten schreiben möchten. Wenn Ihre EventSentry-Installation nur eine Datenbankbenachrichtigungsaktion enthält, wird diese automatisch ausgewählt, und das Pulldown-Menü wird deaktiviert.

 

Import-Fortschritt

Wenn Sie sich vergewissert haben, dass Ihre Auswahl korrekt ist, können Sie auf die Schaltfläche "Import starten" klicken, um den Import zu starten. In diesem Bereich wird Ihnen auch die Größe der zu importierenden Ereignisprotokoll-Sicherungsdatei und die Anzahl der in der Ereignisprotokoll-Sicherungsdatei enthaltenen Ereignisprotokolleinträge angezeigt.

 

Der Fortschrittsbalken zeigt Ihnen an, wie viele Daten bisher importiert wurden, und Sie können den Import jederzeit abbrechen.

 

Command-Line Options

Das EventSentry-Datenbankimport-Dienstprogramm unterstützt die folgenden Befehlszeilenoptionen:

 

Command-Line Option

Explanation

Example

/file:

The event log backup (.evtx) or log file to import

/file:server01_app_072006.evtx

/action:

The name of the EventSentry action to write the data to

/action:mssql

 

 

 

/eventlog:

The name of the event log contained in the event log backup file

/eventlog:Security

 

 

 

/filedefinition:

Name of an EventSentry log file definition

/filedefinition:IIS

/nondelimited

Indicate that the file to import is a non-delimited log file

 

/unix

Force utility to use a Unix line terminator

 

 

 

 

/debug

Enable debug logging to %SYSTEMROOT%\system32\eventsentry

/debug

 

 

 

/?

shows supported command-line options

/?

 

Um beispielsweise das Sicherheitsereignisprotokoll aus der Datei DBSRV01_SEC-062006.evtx automatisch in der Aktion Primäre Datenbank aufzuzeichnen, führen Sie den folgenden Befehl aus:

 

eventsentry_db_import.exe /file:"c:\logs\DBSRV01_SEC-062006.evtx" /eventlog:Security /action:"Primary Database"

 

Wenn Sie mehrere Protokolldateien in die mssql-Aktion importieren müssen, dann können Sie z.B. eine Batch-Datei erstellen:

 

eventsentry_db_import.exe /file:DBSRV01_SEC-062006.evtx /eventlog:Security /action:mssql

eventsentry_db_import.exe /file:DBSRV01_SEC-072006.evtx /eventlog:Security /action:mssql

eventsentry_db_import.exe /file:DBSRV01_SEC-082006.evtx /eventlog:Security /action:mssql

 

Um eine IIS-Protokolldatei, bei der es sich um eine "delimited" Protokolldatei handelt, in die Datenbank zu importieren, führen Sie den folgenden Befehl aus:

 

eventsentry_db_import.exe /file:ex070828.log /filedefinition:"IIS 6" /action:mssql