2
Windows Ereignisprotokoll - Sicherheit auslesen
Es geht mir eigentlich nicht auf die Syntax, sondern um Speicherort in der WMI
Hallo Leute,
ich logge auf einem Windows PC die RDP Verbindungen mit. Diese werden in der Ereignissanzeige unter Sicherheit auch wunderbar dargestellt.
Diese Einträge wollte ich nun per vbs mit
auslesen
Leider scheinen diese Einträge aber nicht mit inbegriffen zu sein.
Kann mir jemand sagen, wo ich diese Einträge in der wmi finde?
DANKE
ich logge auf einem Windows PC die RDP Verbindungen mit. Diese werden in der Ereignissanzeige unter Sicherheit auch wunderbar dargestellt.
Diese Einträge wollte ich nun per vbs mit
Set colLoggedEvents = objWMIService.ExecQuery("Select * from Win32_NTLogEvent ) Leider scheinen diese Einträge aber nicht mit inbegriffen zu sein.
Kann mir jemand sagen, wo ich diese Einträge in der wmi finde?
DANKE
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 114211
Url: https://administrator.de/contentid/114211
Printed on: April 16, 2024 at 06:04 o'clock
2 Comments
Latest comment
Prüfe doch mal ob Du per WMI auf alle Event.Log Dateien zugreifen kannst.
Ich hab hier ein ScriptomaticV2 generiertes Script zum Testen. Schau dir auch den Staus an.
Gruß
LotPings
Ich hab hier ein ScriptomaticV2 generiertes Script zum Testen. Schau dir auch den Staus an.
Gruß
LotPings
On Error Resume Next
Const wbemFlagReturnImmediately = &h10
Const wbemFlagForwardOnly = &h20
arrComputers = Array("localhost")
For Each strComputer In arrComputers
WScript.Echo "=============================================================="
WScript.Echo "Computer. . . . . . . . . . . : " & strComputer
WScript.Echo "=============================================================="
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2")
Set colItems = objWMIService.ExecQuery("SELECT * FROM Win32_NTEventlogFile", _
"WQL", wbemFlagReturnImmediately + wbemFlagForwardOnly)
For Each objItem In colItems
WScript.Echo "AccessMask. . . . . . . . . . : " & objItem.AccessMask
WScript.Echo "Archive . . . . . . . . . . . : " & objItem.Archive
WScript.Echo "Caption . . . . . . . . . . . : " & objItem.Caption
WScript.Echo "Compressed. . . . . . . . . . : " & objItem.Compressed
WScript.Echo "CompressionMethod . . . . . . : " & objItem.CompressionMethod
WScript.Echo "CreationClassName . . . . . . : " & objItem.CreationClassName
WScript.Echo "CreationDate. . . . . . . . . : " & WMIDateStringToDate(objItem.CreationDate)
WScript.Echo "CSCreationClassName . . . . . : " & objItem.CSCreationClassName
WScript.Echo "CSName. . . . . . . . . . . . : " & objItem.CSName
WScript.Echo "Description . . . . . . . . . : " & objItem.Description
WScript.Echo "Drive . . . . . . . . . . . . : " & objItem.Drive
WScript.Echo "EightDotThreeFileName . . . . : " & objItem.EightDotThreeFileName
WScript.Echo "Encrypted . . . . . . . . . . : " & objItem.Encrypted
WScript.Echo "EncryptionMethod. . . . . . . : " & objItem.EncryptionMethod
WScript.Echo "Extension . . . . . . . . . . : " & objItem.Extension
WScript.Echo "FileName. . . . . . . . . . . : " & objItem.FileName
WScript.Echo "FileSize. . . . . . . . . . . : " & objItem.FileSize
WScript.Echo "FileType. . . . . . . . . . . : " & objItem.FileType
WScript.Echo "FSCreationClassName . . . . . : " & objItem.FSCreationClassName
WScript.Echo "FSName. . . . . . . . . . . . : " & objItem.FSName
WScript.Echo "Hidden. . . . . . . . . . . . : " & objItem.Hidden
WScript.Echo "InstallDate . . . . . . . . . : " & WMIDateStringToDate(objItem.InstallDate)
WScript.Echo "InUseCount. . . . . . . . . . : " & objItem.InUseCount
WScript.Echo "LastAccessed. . . . . . . . . : " & WMIDateStringToDate(objItem.LastAccessed)
WScript.Echo "LastModified. . . . . . . . . : " & WMIDateStringToDate(objItem.LastModified)
WScript.Echo "LogfileName . . . . . . . . . : " & objItem.LogfileName
WScript.Echo "Manufacturer. . . . . . . . . : " & objItem.Manufacturer
WScript.Echo "MaxFileSize . . . . . . . . . : " & objItem.MaxFileSize
WScript.Echo "Name. . . . . . . . . . . . . : " & objItem.Name
WScript.Echo "NumberOfRecords . . . . . . . : " & objItem.NumberOfRecords
WScript.Echo "OverwriteOutDated . . . . . . : " & objItem.OverwriteOutDated
WScript.Echo "OverWritePolicy . . . . . . . : " & objItem.OverWritePolicy
WScript.Echo "Path. . . . . . . . . . . . . : " & objItem.Path
WScript.Echo "Readable. . . . . . . . . . . : " & objItem.Readable
strSources = Join(objItem.Sources, ",")
WScript.Echo "Sources . . . . . . . . . . . : " & strSources
WScript.Echo "Status. . . . . . . . . . . . : " & objItem.Status
WScript.Echo "System. . . . . . . . . . . . : " & objItem.System
WScript.Echo "Version . . . . . . . . . . . : " & objItem.Version
WScript.Echo "Writeable . . . . . . . . . . : " & objItem.Writeable
WScript.Echo "--------------------------------------------------------------"
Next
Next
Function WMIDateStringToDate(dtmDate)
WMIDateStringToDate = CDate(Mid(dtmDate, 5, 2) & "/" & _
Mid(dtmDate, 7, 2) & "/" & Left(dtmDate, 4) _
& " " & Mid (dtmDate, 9, 2) & ":" & Mid(dtmDate, 11, 2) & ":" & Mid(dtmDate,13, 2))
End Function
ok vielen danke, ich werde es mal testen