Présentation
Quoi de neuf
Utilisation
Sauvegarde et effacement
Dump
Visualiser une liste d'événements
Programmer une actions
Gestion du service
Les options
License d'utilisation
Formulaire d'enregistrement
Mail

Comment dumper un journal, une source, une catégorie
ou encore les sessions utilisateur, sessions en échec, sessions Ras et impressions ?


  1. Choisissez l'objet (journal, source, catégorie ou sessions utilisateur, échec d'accès, impressions, sessions Ras) que vous voulez dumper.

    Pour pouvoir choisir un objet d'un ordinateur distant, vous devez

    • Soit développer la branche réseau,
    • Soit l'ajouter avec la commande Ajouter un serveur du menu fichier
    • Soit l'ajouter avec le bouton de la barre d'outils.
  2. Ensuite choisissez l'action:
    • Avec le menu action
    • Avec la barre d'outils :
    • Avec le menu contextuel que vous obtenez lorsqu'un journal est sélectionné.
log_dump

Options communes

Vous ne pouvez dumper un objet que

  • Si le répertoire existe.
  • Si le fichier de sortie spécifié n'existe pas.
  • Ou si vous avez spécifié soit l'option Ecraser un fichier existant, soit l'option Ajouter à un fichier existant.

Vous pouvez choisir entre trois formats de sortie en spécifiant le suffixe de votre fichier et positionner différentes options de sorties tel que noms ou images pour les différents types d'événements grâce à la fenêtre options :

  • Suffixe .TXT : Format texte dont le séparateur par défaut est le point virgule. Vous pouvez le changer grâce à la fenêtre options
  • Suffixe .CSV : Fichier dont le séparateur est une virgule et que l'on peut ouvrir avec Excel. (Attention, Excel formate parfois curieusement les dates)
  • Suffixe .HTML ou .HTM : N'oubliez pas de copier les cinq fichiers gif (leurs noms par défaut sont failure.gif, success.gif, info.gif, warning.gif, error.gif) dans le répertoire où vous sauverez vos dump.

Vous pouvez choisir le format de sortie de la date :
  • Soit sous une forme lisible dont le format sera défini grâce aux Options.
  • Soit sous forme OLE, c'est à dire au format réel qui est utile si vous voulez importer vos fichiers dans MS-Access par exemple.

Si vous effacez le journal, le dump depuis le dernier dump n'a aucun intérêt et peut même être vide alors que le journal ne l'est pas.

Importation du fichier dans Microsoft Access

Si vous importez le fichier texte dans MS Access, vous devez spécifier de dumper la date au format OLE puis l'importer comme un réel, et enfin configurer le champ comme une date.

Dans la version non enregistrée, une ligne d'avertissement est ajoutée à la fin du fichier.

Dump des journaux, des sources ou des catégories

Vous pouvez dumper un numéro d'événements (en donnant son numéro, vous pouvez trouver quelques exemples d'événements intéressants) du journal complet ou bien uniquement depuis le dernier dump ou bien encore d'un ou plusieurs types parmi Erreur, Avertissement, Information, Audit des succès ou Audit des échecs.

Si vous choisissez le format long, vous pouvez avoir chaque information dans un champ séparé et non pas noyé dans une description comme avec l'observateur d'événements. Cela vous permettra, par exemple, de récupérer la taille et le nombre de pages imprimées par chaque utilisateur de votre système.

Les données étant formatées pour être incluses dans des applications bureautiques telles Microsoft Excel™ ou Microsoft Access™, les sauts de lignes sont donc effacés pour avoir une ligne par événement. (Mais pour certains événements qui contiennent beaucoup de données comme les événements générés par Dr Watson, l'événement peut être sur plusieurs lignes à cause de la longueur maximale d'une ligne de fichier) Si vous voulez importer le fichier dans une application Microsoft Office™, n'oubliez pas de choisir le format OLE pour la date.

Contenu du fichier dump

Vous pouvez ajouter une ligne de titre dans votre fichier de sortie, uniquement dans le format usuel, le logiciel ne pouvant pas deviner le nombre et le contenu de chaque champ du format long.

Pour obtenir la description de l'événement, vous devez choisir l'option message. Si vous dumpez le journal d'un ordinateur distant, la description de l'événement est décodée sur cet ordinateur distant. Si le décodage échoue, la description est alors obtenue à partir de l'ordinateur local et l'indicateur local est ajouté au message.

Si vous choisissez de dumper les données au format ascii, seuls les caractères imprimables sont affichés.

Format usuel

Numéro de l'événement; type de l'événement; nom de l'ordinateur; date et heure(format OLE pour les applications MS Office ou format lisible); nom de l'utilisateur; domaine;

Format long

Format usuel plus des informations sur l'événement.

Pour identifier ces informations, vous pouvez les comparer avec la description de l'événement, les champs étant dans le même ordre.

Dump des sessions utilisateur, des sessions en échec, des sessions RAS ou des impressions

Format du fichier dump

Format court

Ce format contient uniquement les champs :

Sessions
utilisateur
Sessions
en échec
Sessions
Ras
Impressions
Utilisateur XXXX
Serveur XXX
Domaine XXX
date de l'événement X X
date de début X X
date de fin X X
durée X X
station XXXX
document X

Format long

Tous les champs de l'événement.

Format personnalisé

Ce format vous permet de choisir les champs qui vous intéressent et de modifier le titre de chaque colonne. Pour les choisir, vous cliquez sur le bouton Personnaliser... .
custom

Pour modifier le titre d'un champ, vous devez le sélectionner, puis modifier le libellé au niveau du control Titre. Il ne faut pas oublier de cliquer sur le bouton Modifier afin de valider la modification.

Contenu du fichier dump

Sessions utilisateurs

Le contenu des sessions est construit à partir des événements 528 et 540 pour le début de la session, et 538 pour la fin de session du journal sécurité, source sécurité, catégorie ouverture/fermeture sessions.

Sessions en échec

Les sessions de type audit des échecs, du journal sécurité, source sécurité, catégorie ouverture/fermeture sessions.

Sessions Ras

Les sessions sont construites avec les événements 20050 du journal système, source RemoteAccess.

Sous Windows 2000, ces événements ne semblent plus générées. J'aurais besoin que vous m'envoyez des exemples de journaux afin que je puisse prendre en compte ces nouveaux événements en compte.

Impressions

Les impressions sont listées à partir des événements numéro 10 du journal système, source Print.

Exemple de dump au format texte pour la source print d'un journal système avec messages

INFORMATION;10;15-02-98 18:36:12;ISABELLE\Administrateur;print;ISABELLE;;Le document 3, Enveloppes étranger possédé par Administrateur a été imprimé sur HP LaserJet 4L via le port LPT1:. Taille en octets : 36124 ; pages imprimées : 2 ;
INFORMATION;10;12-02-98 21:52:26;ISABELLE\Administrateur;print;ISABELLE;;Le document 2, liste par auteurs (verifies) possédé par Administrateur a été imprimé sur HP LaserJet 4L via le port LPT1:. Taille en octets : 404182 ; pages imprimées : 4 ;
INFORMATION;10;10-02-98 21:09:45;ISABELLE\Administrateur;print;ISABELLE;;Le document 3, tit_isa.doc possédé par Administrateur a été imprimé sur HP LaserJet 4L via le port LPT1:. Taille en octets : 157284 ; pages imprimées : 1 ;
INFORMATION;10;10-02-98 19:32:34;ISABELLE\Administrateur;print;ISABELLE;;Le document 2, (Sans titre) - Bloc-notes possédé par Administrateur a été imprimé sur HP LaserJet 4L via le port LPT1:. Taille en octets : 6948 ; pages imprimées : 2 ;
WARNING;7;17-01-98 21:54:16;ISABELLE\Administrateur;print;ISABELLE;;L'imprimante HP LaserJet 4L a été remise en marche. ; WARNING;8;17-01-98 20:53:02;ISABELLE\Administrateur;print;ISABELLE;;L'imprimante HP LaserJet 4L a été vidée. ;
WARNING;6;17-01-98 20:52:37;ISABELLE\Administrateur;print;ISABELLE;;L'imprimante HP LaserJet 4L a été temporairement arrêtée. ;
Ce fichier a été généré par une version non enregistrée de WDumpEvt version 2.2

Exemple de dump au format html pour la source print d'un journal système, format long avec messages

 

10  

15-02-98 18:36:12  

ISABELLE\
Administrateur  

print  

ISABELLE  

 

Le document 3, Enveloppes étranger possédé par Administrateur a été imprimé sur HP LaserJet 4L via le port LPT1:. Taille en octets : 36124 ; pages imprimées : 2  

3  

Enveloppes étranger  

Administrateur  

HP LaserJet 4L  

LPT1:  

36124  

2  

 

10  

12-02-98 21:52:26  

ISABELLE\
Administrateur  

print  

ISABELLE  

 

Le document 2, liste par auteurs (verifies) possédé par Administrateur a été imprimé sur HP LaserJet 4L via le port LPT1:. Taille en octets : 404182 ; pages imprimées : 4  

2  

liste par auteurs (verifies)  

Administrateur  

HP LaserJet 4L  

LPT1:  

404182  

4  

 

10  

10-02-98 19:32:34  

ISABELLE\
Administrateur  

print  

ISABELLE  

 

Le document 2, (Sans titre) - Bloc-notes possédé par Administrateur a été imprimé sur HP LaserJet 4L via le port LPT1:. Taille en octets : 6948 ; pages imprimées : 2  

2  

(Sans titre) - Bloc-notes  

Administrateur  

HP LaserJet 4L  

LPT1:  

6948  

2  

 

7  

17-01-98 21:54:16  

ISABELLE\
Administrateur  

print  

ISABELLE  

 

L'imprimante HP LaserJet 4L a été remise en marche.  

HP LaserJet 4L  

           

 

8  

17-01-98 20:53:02  

ISABELLE\
Administrateur  

print  

ISABELLE  

 

L'imprimante HP LaserJet 4L a été vidée.  

HP LaserJet 4L  

           

 

6  

17-01-98 20:52:37  

ISABELLE\
Administrateur  

print  

ISABELLE  

 

L'imprimante HP LaserJet 4L a été temporairement arrêtée.  

HP LaserJet 4L  

           

Ce fichier a été généré par une version non enregistrée de WDumpEvt version 2.2


Haut
Mis à jour le 14/09/2000
© Isabelle Vollant (http://www.eventlog.com/index_fr.html)