Windows - Naplófájl elemző segédprogram rendszergazdáknak

Cikkünkben bemutatunk egy segédprogramot, mely a naplófájlok feldolgozására készült, gyors keresést valósíthatunk meg, különböző feltételek szerint az eredményt is különféle formátumokban tárolhatjuk. Kezeli az IIS naplóállományait, de az Eseménynaplót (Event Viewer) is, indítható programokból, szkriptekből a telepített COM modulnak köszönhetően. Részletes leírást és példaszkripteket kapunk hozzá.
Az alábbi segédprogram az általánosabb Windows-os naplóállományok adatait képes lekérdezni és átkonvertálni más formátumra. Az SQL motornak köszönhetően szabványos SQL lekérdezések használatával nyerhetjük ki a minket érdeklő információt. Telepítéskor egy COM objektum is rendszerbe kerül, melyen keresztül programokból, szkriptekből is használhatjuk. Kapunk néhány mintaszkriptet is az alkalmazáshoz, egyikkel például a hacker gyanús tevékenységeket lehet kiszűrni az IIS naplófájljából egyetlen mozdulattal. Nem szükséges a sokszor több megabájtos naplókat a Notepad-el böngészni, hanem egy lekérdezéssel elérhetjük, hogy csak az adott feltételeknek megfelelő bejegyzések jelenjenek meg.
Honnan szerezhető be?
Letölthető az Internetről a Microsoft honlapjáról, a keresőbe be kell írni a "logparser" szót és a download center-ben megtalálható. Hossza: 2,2 MB.
Telepítés
Futtassuk a letöltött SETUP.EXE-t, parancsikon nem fog megjelenni sem az asztalon, sem a Start menüben, a %Program Files%\Log Parser mappában kell keresni a LOGPARSER.EXE fájlt. Parancssorból hívható meg. Ugyanitt a LOGPARSER.DOC fájlban található részletes leírás a segédprogram használatáról.
Milyen naplófájl formátumokat tud kezelni?
  • IISW3C: IIS W3C Extended
  • IIS: Általános IIS
  • IISMSID: Ezt a formátumot az IIS generálja, ha telepítve vannak a MSIDFILT és CLOGFILT ISAPI szűrők
  • NCSA: IIS NCSA Common
  • ODBC: ODBC adatbázisba irányított IIS napló
  • BIN: IIS bináris
  • URLSCAN: URLScan ISAPI szűrő által generált fájl
  • HTTPERR: IIS 6.0 HTTP error log
  • EVT: Az "Eseménynapló" ("Event Viewer") naplófájljai
  • TEXTWORD: Általános szöveges formátum, ahol a naplóbejegyzések adott karakterrel elválasztott szavakból áll
  • TEXTLINE: Általános szöveges formátum, ahol a naplóbejegyzések külön sorban vannak
  • CSV: Comma-separated lista
  • W3C: Általános W3C formátum, ilyet készít a Windows Media Services vagy a Personal Firewall
  • FS: Fájl és mappa tulajdonságokról tárolt információk
A LOGPARSER.DOC fájlban megtalálható az egyes típusok részletes ismertetése, beleértve az egyes bejegyzések nevét, adattípusát.
Milyen kimeneti formátumokat kérhetünk?
  • W3C:a kimenet egy szöveges állomány lesz fejléccel a tetején és az egyes bejegyzések szóközzel lesznek elválasztva
  • IIS: szintén szöveges állomány a bejegyzések vesszővel vagy szóközzel lesznek elválasztva
  • SQL: adott SQL táblába kerül a kimenet
  • Comma-Separated-Value (CSV): szöveges a bejegyzések vesszővel vagy tabulátorral lesznek elválasztva
  • XML: XML formátumú szöveges fájl
  • Template: szöveges, a felhasználó által meghatározott sablon szerinti formátumban.
  • Native: a képernyőn jelenik meg a kimenet
Milyen operációs rendszereken használható?
  • Microsoft Windows 2000 valamennyi verziója
  • Microsoft Windows XP
  • Microsoft Windows .NET Server 2003 valamennyi verziója
Alkalmazható kapcsolók - lekérdezések készítése
Az igénybe vehető kapcsolókról a program paraméterek nélküli meghívásával kapunk bővebb információt. Nyissunk meg egy parancssori ablakot, tallózzunk el a %Program Files%\Log Parser mappába és írjuk be:
logparser
Részletes leírás a LOGPARSE.DOC fájlban található.
Nézzünk néhány példát:
HTTPERR naplófájl lekérdezése:
LogParser “SELECT * from stdin” –i:HTTPERR
A -i kapcsolóval határozzuk meg a bemeneti formátumot, alapértelmezésben a kimenet a képernyő lesz.
Eseménynapló lekérdezése:
SELECT Message FROM System, Application, \\COMPUTER2\System, D:\MyEVTLogs\*.evt, \\COMPUTER5\Security
CSV formátumú fájl lekérdezése:
LogParser “SELECT * from stdin” –i:CSV
W3C napló lekérdezése, csak az adott feltételeknek megfelelő adatok kinyerésével:
logparser "Select TO_DATE(TimeGenerated) as date, TO_TIME(TimeGenerated) as time, EventID as event-id, EventType as event-type, SourceName as sourcename FROM System TO exevent.log" -o:W3C
A %Program Files%\Log Parser\Samples\Queries mappában több példalekérdezés is található a *.sql fájlokban.
Üzemmódok
A program működését tekintve az alábbi üzemmódokat különböztetjük meg:
  • Standard
Ez az alapértelmezett mód, tulajdonképpen kiolvassa a naplófájlokból a bejegyzéseket, melyek megfelelnek a megadott feltételeknek és megjeleníti a képernyőn vagy a megadott kimeneten:
logparser ”Select Name, Size FROM D:\*.* ORDER BY Size DESC” –i:FS –recurse:OFF
  • Conversion
Hasonló az előzőhöz azzal a lényegi különbséggel, hogy a kimeneti formátum eltér a bemenetitől, ezzel átkonvertáljuk az adatokat más formátumra:
logparser -c -i:BIN -o:W3C ra020604.ibl W3SVC*\ex020604.log -multisite:ON
  • Help
Segítségkérő mód, amikor paraméterek nélkül adjuk ki az utasítást - pontosabban másodparaméterek nélkül - akkor megjelennek az adott naplóállományon végezhető műveletek:
logparser –h –i:IISW3C