|
|
 Comment dumper un journal, une source, une catégorie
ou encore les sessions utilisateur, sessions en échec, sessions Ras et impressions ?
- Choisissez l'objet (journal, source, catégorie ou sessions utilisateur, échec d'accès, impressions, sessions Ras) que vous voulez
dumper.
Pour pouvoir choisir un objet d'un ordinateur distant, vous devez
- Soit développer la branche réseau,
- Soit l'ajouter avec la commande Ajouter un serveur du menu fichier
- Soit l'ajouter avec le bouton
 de la barre d'outils.
- Ensuite choisissez l'action:
- Avec le menu action
- Avec la barre d'outils :
- Avec le menu contextuel que vous obtenez lorsqu'un journal est
sélectionné.
 Options communes
Vous ne pouvez dumper un objet que
- Si le répertoire existe.
- Si le fichier de sortie spécifié n'existe pas.
- Ou si vous avez spécifié soit l'option Ecraser un fichier existant,
soit l'option Ajouter à un fichier existant.
Vous pouvez choisir entre trois formats de sortie en spécifiant le suffixe de votre fichier et positionner
différentes options de sorties tel que noms ou images pour les différents types d'événements grâce à la fenêtre
options :
- Suffixe .TXT : Format texte dont le séparateur par défaut est le point virgule. Vous pouvez le changer grâce à la fenêtre
options
- Suffixe .CSV : Fichier dont le séparateur est une virgule et que l'on peut ouvrir avec Excel. (Attention, Excel formate parfois curieusement les dates)
- Suffixe .HTML ou .HTM : N'oubliez pas de copier les cinq fichiers gif (leurs noms par
défaut sont failure.gif, success.gif, info.gif, warning.gif, error.gif)
dans le répertoire où vous sauverez vos dump.
Vous pouvez choisir le format de sortie de la date :
- Soit sous une forme lisible dont le format sera défini grâce aux Options.
- Soit sous forme OLE, c'est à dire au format réel qui est utile si vous voulez importer vos fichiers dans MS-Access par exemple.
Si vous effacez le journal, le dump depuis le dernier dump n'a aucun
intérêt et peut même être vide alors que le journal ne
l'est pas.
Importation du fichier dans Microsoft Access
Si vous importez le fichier texte dans MS Access, vous devez spécifier de dumper la date au format OLE puis l'importer comme un réel, et enfin configurer le champ comme une date.
Dans la version non enregistrée, une ligne d'avertissement est
ajoutée à la fin du fichier. Dump des journaux, des sources ou des catégories
Vous pouvez dumper un numéro d'événements (en
donnant son numéro, vous pouvez trouver
quelques exemples d'événements
intéressants) du journal complet ou bien uniquement depuis le
dernier dump ou bien encore d'un ou plusieurs types parmi
Erreur, Avertissement, Information, Audit des succès ou Audit des échecs.
Si vous choisissez le format long, vous pouvez avoir chaque
information dans un champ séparé et non pas noyé dans une
description comme avec l'observateur d'événements. Cela vous
permettra, par exemple, de récupérer la taille et le nombre de
pages imprimées par chaque utilisateur de votre système.
Les données étant formatées pour être incluses dans
des applications bureautiques telles Microsoft Excel™ ou Microsoft
Access™, les sauts de lignes sont donc effacés pour avoir une ligne
par événement. (Mais pour certains événements qui
contiennent beaucoup de données comme les événements
générés par Dr Watson, l'événement peut
être sur plusieurs lignes à cause de la longueur maximale d'une
ligne de fichier) Si vous voulez importer le fichier dans une application
Microsoft Office™, n'oubliez pas de choisir le format OLE pour la
date.
Contenu du fichier dump
Vous pouvez ajouter une ligne de titre dans votre fichier de sortie,
uniquement dans le format usuel, le logiciel ne pouvant pas deviner le nombre
et le contenu de chaque champ du format long.
Pour obtenir la description de l'événement, vous devez choisir l'option message.
Si vous dumpez le journal d'un ordinateur distant, la description de l'événement est décodée sur cet ordinateur distant.
Si le décodage échoue, la description est alors obtenue à partir de l'ordinateur local et
l'indicateur local est ajouté au message.
Si vous choisissez de dumper les données au format ascii, seuls les
caractères imprimables sont affichés.
Format usuel
Numéro de l'événement; type de l'événement;
nom de l'ordinateur; date et heure(format OLE pour les applications MS Office
ou format lisible); nom de l'utilisateur; domaine;
Format long
Format usuel plus des informations sur l'événement.
Pour
identifier ces informations, vous pouvez les comparer avec la description de
l'événement, les champs étant dans le même
ordre.
Dump des sessions utilisateur, des sessions en échec, des sessions RAS ou des impressions
Format du fichier dump
Format court
Ce format contient uniquement les champs :
| | Sessions
utilisateur | Sessions
en échec | Sessions
Ras | Impressions |
|---|
| Utilisateur | X | X | X | X |
|---|
| Serveur | X | X | X | |
|---|
| Domaine | X | X | X | |
|---|
| date de l'événement | | X | | X |
|---|
| date de début | X | | X | |
|---|
| date de fin | X | | X | |
|---|
| durée | X | | X | |
|---|
| station | X | X | X | X |
|---|
| document | | | | X |
|---|
Format long
Tous les champs de l'événement.
Format personnalisé
Ce format vous permet de choisir les champs qui vous intéressent et de modifier le titre de chaque colonne. Pour les choisir, vous cliquez sur le bouton Personnaliser... .
Pour modifier le titre d'un champ, vous devez le sélectionner, puis modifier le libellé au niveau du control Titre. Il ne faut pas oublier de cliquer sur le bouton Modifier afin de valider la modification.
Contenu du fichier dump
Sessions utilisateurs
Le contenu des sessions est construit à partir des événements 528 et 540 pour le début de la session, et 538 pour la fin de session du journal sécurité, source sécurité, catégorie ouverture/fermeture sessions.
Sessions en échec
Les sessions de type audit des échecs, du journal sécurité, source sécurité, catégorie ouverture/fermeture sessions.
Sessions Ras
Les sessions sont construites avec les événements 20050 du journal système, source RemoteAccess.
Sous Windows 2000, ces événements ne semblent plus générées. J'aurais besoin que vous m'envoyez des exemples de journaux afin que je puisse prendre en compte ces nouveaux événements en compte.
Impressions
Les impressions sont listées à partir des événements numéro 10 du journal système, source Print.
Exemple de dump au format texte pour la source print d'un journal système avec messages
INFORMATION;10;15-02-98
18:36:12;ISABELLE\Administrateur;print;ISABELLE;;Le document 3, Enveloppes
étranger possédé par Administrateur a été
imprimé sur HP LaserJet 4L via le port LPT1:. Taille en octets :
36124 ; pages imprimées : 2 ;
INFORMATION;10;12-02-98 21:52:26;ISABELLE\Administrateur;print;ISABELLE;;Le
document 2, liste par auteurs (verifies) possédé par
Administrateur a été imprimé sur HP LaserJet 4L via le
port LPT1:. Taille en octets : 404182 ; pages imprimées : 4 ;
INFORMATION;10;10-02-98 21:09:45;ISABELLE\Administrateur;print;ISABELLE;;Le
document 3, tit_isa.doc possédé par Administrateur a
été imprimé sur HP LaserJet 4L via le port LPT1:. Taille
en octets : 157284 ; pages imprimées : 1 ;
INFORMATION;10;10-02-98 19:32:34;ISABELLE\Administrateur;print;ISABELLE;;Le
document 2, (Sans titre) - Bloc-notes possédé par Administrateur
a été imprimé sur HP LaserJet 4L via le port LPT1:. Taille
en octets : 6948 ; pages imprimées : 2 ;
WARNING;7;17-01-98
21:54:16;ISABELLE\Administrateur;print;ISABELLE;;L'imprimante HP LaserJet 4L a
été remise en marche. ; WARNING;8;17-01-98
20:53:02;ISABELLE\Administrateur;print;ISABELLE;;L'imprimante HP LaserJet 4L a
été vidée. ;
WARNING;6;17-01-98
20:52:37;ISABELLE\Administrateur;print;ISABELLE;;L'imprimante HP LaserJet 4L a
été temporairement arrêtée. ;
Ce fichier a été généré par une version non
enregistrée de WDumpEvt version 2.2
Exemple de dump au format html pour la source print d'un journal système, format long avec messages
| 
|
10
|
15-02-98 18:36:12
|
ISABELLE\
Administrateur
|
print
|
ISABELLE
|
|
Le document 3, Enveloppes étranger
possédé par Administrateur a été imprimé sur
HP LaserJet 4L via le port LPT1:. Taille en octets : 36124 ; pages
imprimées : 2
|
3
|
Enveloppes étranger
|
Administrateur
|
HP LaserJet 4L
|
LPT1:
|
36124
|
2
|
|
|
10
|
12-02-98 21:52:26
|
ISABELLE\
Administrateur
|
print
|
ISABELLE
|
|
Le document 2, liste par auteurs (verifies)
possédé par Administrateur a été imprimé sur
HP LaserJet 4L via le port LPT1:. Taille en octets : 404182 ; pages
imprimées : 4
|
2
|
liste par auteurs (verifies)
|
Administrateur
|
HP LaserJet 4L
|
LPT1:
|
404182
|
4
|
|
|
10
|
10-02-98 19:32:34
|
ISABELLE\
Administrateur
|
print
|
ISABELLE
|
|
Le document 2, (Sans titre) - Bloc-notes
possédé par Administrateur a été imprimé sur
HP LaserJet 4L via le port LPT1:. Taille en octets : 6948 ; pages
imprimées : 2
|
2
|
(Sans titre) - Bloc-notes
|
Administrateur
|
HP LaserJet 4L
|
LPT1:
|
6948
|
2
|
| 
|
7
|
17-01-98 21:54:16
|
ISABELLE\
Administrateur
|
print
|
ISABELLE
|
|
L'imprimante HP LaserJet 4L a
été remise en marche.
|
HP LaserJet 4L
|
|
|
|
|
|
|
|
|
8
|
17-01-98 20:53:02
|
ISABELLE\
Administrateur
|
print
|
ISABELLE
|
|
L'imprimante HP LaserJet 4L a
été vidée.
|
HP LaserJet 4L
|
|
|
|
|
|
|
|
|
6
|
17-01-98 20:52:37
|
ISABELLE\
Administrateur
|
print
|
ISABELLE
|
|
L'imprimante HP LaserJet 4L a
été temporairement arrêtée.
|
HP LaserJet 4L
|
|
|
|
|
|
|
Ce fichier a été généré par une
version non enregistrée de WDumpEvt version 2.2
Haut
|
