Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Ereignisprotokoll - Sicherheit auslesen

Mitglied: kleinemeise

kleinemeise (Level 1) - Jetzt verbinden

19.04.2009, aktualisiert 18:09 Uhr, 3694 Aufrufe, 2 Kommentare

Es geht mir eigentlich nicht auf die Syntax, sondern um Speicherort in der WMI

Hallo Leute,

ich logge auf einem Windows PC die RDP Verbindungen mit. Diese werden in der Ereignissanzeige unter Sicherheit auch wunderbar dargestellt.

Diese Einträge wollte ich nun per vbs mit
01.
Set colLoggedEvents = objWMIService.ExecQuery("Select * from Win32_NTLogEvent ) 
auslesen

Leider scheinen diese Einträge aber nicht mit inbegriffen zu sein.

Kann mir jemand sagen, wo ich diese Einträge in der wmi finde?

DANKE
Mitglied: LotPings
19.04.2009 um 18:40 Uhr
Prüfe doch mal ob Du per WMI auf alle Event.Log Dateien zugreifen kannst.
Ich hab hier ein ScriptomaticV2 generiertes Script zum Testen. Schau dir auch den Staus an.

Gruß
LotPings

On Error Resume Next 
Const wbemFlagReturnImmediately = &h10 
Const wbemFlagForwardOnly = &h20 
arrComputers = Array("localhost") 
For Each strComputer In arrComputers 
  WScript.Echo "==============================================================" 
  WScript.Echo "Computer. . . . . . . . . . . : " & strComputer 
  WScript.Echo "==============================================================" 
  Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2") 
  Set colItems = objWMIService.ExecQuery("SELECT * FROM Win32_NTEventlogFile", _ 
  "WQL", wbemFlagReturnImmediately + wbemFlagForwardOnly) 
 
  For Each objItem In colItems 
    WScript.Echo "AccessMask. . . . . . . . . . : " & objItem.AccessMask 
    WScript.Echo "Archive . . . . . . . . . . . : " & objItem.Archive 
    WScript.Echo "Caption . . . . . . . . . . . : " & objItem.Caption 
    WScript.Echo "Compressed. . . . . . . . . . : " & objItem.Compressed 
    WScript.Echo "CompressionMethod . . . . . . : " & objItem.CompressionMethod 
    WScript.Echo "CreationClassName . . . . . . : " & objItem.CreationClassName 
    WScript.Echo "CreationDate. . . . . . . . . : " & WMIDateStringToDate(objItem.CreationDate) 
    WScript.Echo "CSCreationClassName . . . . . : " & objItem.CSCreationClassName 
    WScript.Echo "CSName. . . . . . . . . . . . : " & objItem.CSName 
    WScript.Echo "Description . . . . . . . . . : " & objItem.Description 
    WScript.Echo "Drive . . . . . . . . . . . . : " & objItem.Drive 
    WScript.Echo "EightDotThreeFileName . . . . : " & objItem.EightDotThreeFileName 
    WScript.Echo "Encrypted . . . . . . . . . . : " & objItem.Encrypted 
    WScript.Echo "EncryptionMethod. . . . . . . : " & objItem.EncryptionMethod 
    WScript.Echo "Extension . . . . . . . . . . : " & objItem.Extension 
    WScript.Echo "FileName. . . . . . . . . . . : " & objItem.FileName 
    WScript.Echo "FileSize. . . . . . . . . . . : " & objItem.FileSize 
    WScript.Echo "FileType. . . . . . . . . . . : " & objItem.FileType 
    WScript.Echo "FSCreationClassName . . . . . : " & objItem.FSCreationClassName 
    WScript.Echo "FSName. . . . . . . . . . . . : " & objItem.FSName 
    WScript.Echo "Hidden. . . . . . . . . . . . : " & objItem.Hidden 
    WScript.Echo "InstallDate . . . . . . . . . : " & WMIDateStringToDate(objItem.InstallDate) 
    WScript.Echo "InUseCount. . . . . . . . . . : " & objItem.InUseCount 
    WScript.Echo "LastAccessed. . . . . . . . . : " & WMIDateStringToDate(objItem.LastAccessed) 
    WScript.Echo "LastModified. . . . . . . . . : " & WMIDateStringToDate(objItem.LastModified) 
    WScript.Echo "LogfileName . . . . . . . . . : " & objItem.LogfileName 
    WScript.Echo "Manufacturer. . . . . . . . . : " & objItem.Manufacturer 
    WScript.Echo "MaxFileSize . . . . . . . . . : " & objItem.MaxFileSize 
    WScript.Echo "Name. . . . . . . . . . . . . : " & objItem.Name 
    WScript.Echo "NumberOfRecords . . . . . . . : " & objItem.NumberOfRecords 
    WScript.Echo "OverwriteOutDated . . . . . . : " & objItem.OverwriteOutDated 
    WScript.Echo "OverWritePolicy . . . . . . . : " & objItem.OverWritePolicy 
    WScript.Echo "Path. . . . . . . . . . . . . : " & objItem.Path 
    WScript.Echo "Readable. . . . . . . . . . . : " & objItem.Readable 
    strSources = Join(objItem.Sources, ",") 
    WScript.Echo "Sources . . . . . . . . . . . : " & strSources 
    WScript.Echo "Status. . . . . . . . . . . . : " & objItem.Status 
    WScript.Echo "System. . . . . . . . . . . . : " & objItem.System 
    WScript.Echo "Version . . . . . . . . . . . : " & objItem.Version 
    WScript.Echo "Writeable . . . . . . . . . . : " & objItem.Writeable 
    WScript.Echo "--------------------------------------------------------------" 
  Next 
Next 
 
Function WMIDateStringToDate(dtmDate) 
  WMIDateStringToDate = CDate(Mid(dtmDate, 5, 2) & "/" & _ 
  Mid(dtmDate, 7, 2) & "/" & Left(dtmDate, 4) _ 
  & " " & Mid (dtmDate, 9, 2) & ":" & Mid(dtmDate, 11, 2) & ":" & Mid(dtmDate,13, 2)) 
End Function
Bitte warten ..
Mitglied: kleinemeise
21.04.2009 um 09:18 Uhr
ok vielen danke, ich werde es mal testen
Bitte warten ..
Ähnliche Inhalte
Windows Server

Ereignisprotokoll "Sicherheit" loggt keine Objektzugriffsversuche und generell sehr wenige Einträge.

Frage von NoAenAssEyWindows Server1 Kommentar

Hallo Community, wir haben folgende Domaincontroller: 1x Win2012 R2 (FSMO Rollen) 1x Win2008 R2 (ist auch gleichzeitig Fileserver) Der ...

Server

Sicherheit Rootserver Windows 7

gelöst Frage von BKriegServer11 Kommentare

Guten Abend zusammen, seit langen bin ich auf der Suche nach einer günstigen Lösungen für meinen "PC/Desktop online". Ich ...

Windows Server

Windows Freigabe und Sicherheit?

gelöst Frage von GeforceWindows Server17 Kommentare

Servus zusammen, bin grad etwas verwirrt und frage lieber nochmal nach. Also ich hab hier mehrere ordner auf einem ...

Batch & Shell

Loginzeiten aus dem Ereignisprotokoll in Excel schreiben

gelöst Frage von l-Ne0nBatch & Shell1 Kommentar

Hallo, mein Rechner läuft von Montags bis Freitags durch, aber ich würde gerne sehen, wann ich morgens an den ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 4 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 16 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 18 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 19 StundenMicrosoft12 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server31 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...