Freigeben über


Logparser en Windows 2008 eventlogs

Logparser is een geweldige tool om van allerlei soorten logs te parsen. Een van de meestgebruikte logs die ik vaak parse met logparser zijn de eventlogs. In Windows Server 2008 zijn er echter wat extra type logs bijgekomen en logparser is nog niet herschreven om hier mee om te gaan. Logparser zoek namelijk in de query string naar keywords als Application of System, maar kan met logs als "Internet Explorer" of "Kernel-Power" uit de Applications and Services sectie van de eventviewer nog niet omgaan.

Nu is er uiteraard een workarround...

Je kan namelijk het pad naar de fysieke bestanden opgeven en deze als file parsen. Dit gaat als volgt:

logparser.exe -i:EVT "Select Count(*) from c:\windows\system32\winevt\logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx

Nu is er echter een probleem met 64 bits versies van de OSen... Deze gebruikt namelijk een 'File System Redirector for WOW64' feature die bepaalde filesystem en registry calls afvangt en redirect naar andere folders op het filesysteem. Dit zit logparser in de weg, waardoor deze het pad nooit kan vinden. Hier is echter een oplossing  voor. Daar moet je het volgende voor gebruiken:

logparser.exe -i:EVT "Select Count(*) from c:\windows\sysnative\winevt\logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx 

 Meer over SysNative: https://msdn.microsoft.com/en-us/library/aa384187(VS.85).aspx

 Enjoy!!!!