Portál AbcLinuxu, 16. července 2025 13:29


Dotaz: MS Security event viewer

12.8.2008 17:13 mapim | skóre: 18
MS Security event viewer
Přečteno: 356×
Odpovědět | Admin
ahoj,
chtel bych zpracovat v bashi security log z win2003 serveru. vymyslel jsem tuto hruznou vetu:

cat security.csv | sed '/Security/!d' | sed '/^.\{43\}/!d' | sed 's/,\Security/,/g' | sed 's/,\Success/,/g' | sed 's/,\Logon/,/g' | sed 's/,\Logoff/,/g' | sed 's/,\Account/,/g' | sed 's/,/ /g'| sed 's/"/ /g' | sed 's/[/]/ /g' | sed -e 's/ / /g'| sed -e 's/ / /g' | sed 's/tab/space/g' | grep -v "NT" | grep -v "credentials" | less

melo by to vypadat nejak takhle:
11.8.2008 15:12:48 Audit Logoff 538 SERVERNAME\uzivatel SERVERNAME User Logoff:
11.8.2008 17:45:42 Audit Logoff 528 SERVERNAME\uzivatel SERVERNAME Successful Logon:

nicmene chcu jeste odstranit Audit, Logoff, SERVERNAME a User+Successful - nechat jen Logon a Logoff - takze by to melo vypadat takhle:
11.8.2008 15:12:48 538 SERVERNAME\uzivatel Logoff:
11.8.2008 17:45:42 528 SERVERNAME\uzivatel Logon:

kdyz nekde doprostred vrazim sed s/,\Audit/,/g, ktere by melo odstranit ten Audit, nefunguje to, a ja uz vazne nevim proc. moc dekuji za pomoc, a je mi jasne, ze za tuhle vetu, pekne schytam ;)
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

12.8.2008 18:32 Boris Dušek | skóre: 22 | blog: everything
Rozbalit Rozbalit vše Re: MS Security event viewer
Odpovědět | | Sbalit | Link | Blokovat | Admin
s/,\Audit/,/g - no tak tady si říkáš o nahrazení stringu ",Audit" za ",". Protože se "Audit" s čárkou přilepenou na začátek nikde nevyskytuje, tak ti ho přirozeně nenahradí za čárku. Nemluvě o tom, že to není to, co chceš :D
vim ~/.emacs
frEon avatar 12.8.2008 19:40 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: MS Security event viewer
Odpovědět | | Sbalit | Link | Blokovat | Admin
lepsi bude, nez pokazdy vyrabet rouru a poustet sed udelat toto: sed -e 'prikaz' -e 'druhej prikaz' -e 'treti prikaz' atd...
Talking about music is like dancing to architecture.
13.8.2008 11:34 mapim | skóre: 18
Rozbalit Rozbalit vše Re: event log - vyjmuti slov z radku (removing words from lines)
dekuji panove za nakopnuti! upravil jsem to takto:
cat security.csv | grep "Audit,Logon/Logoff" | sed -e '/NT/d' -e '/credentials/d' -e '/__vmware_user__/d' -e 's/,/ /g' -e 's/"//g' -e 's/[/]//g' -e 's/ //g' -e 's/[\]//g' -e 's/[ \t]*$//' -| less

a z ms event logu:
12.8.2008,9:26:39,Security,Success Audit,Logon/Logoff ,528,SERVERNAME\uzivatel,SERVERNAME,"Successful Logon:
User Name: uzivatel
Domain: SERVERNAME
Logon ID: (0x0,0x3F09902)
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
Workstation Name: SERVERNAME
Logon GUID: -
Caller User Name: SERVERNAME$
Caller Domain: domena
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 6644
Transited Services: -
Source Network Address: 0.0.0.0
Source Port: 57912

mam takovy vysledek
8.8.2008 11:02:05 Security Success Audit LogonLogoff528 SERVERNAMEuzivatel SERVERNAME Successful Logon:

chtel bych ted odstranit slova od Security az po prvni vyskyt ServerName a pak ostranit slova od druheho vyskytu ServerName az po Logon. Tak abych nemusel explicitne vyjmenovavat slovo po slovu..nikde jsem nevycet, jak to udelat :( Popripade, delam jeste nekde chybu? Moc diky!
13.8.2008 12:13 mapim | skóre: 18
Rozbalit Rozbalit vše Re: event log - vyjmuti slov z radku (removing words from lines)
no ono stacilo napsat jen -e 's/Security Success Audit LogonLogoff//g' :)
ale stale mi vrta hlavou, zda neni jednoduzsi/cistsi zpusob...?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.