Сохранение отчета в файл
Если вы хотите сохранить отчет утилиты auditlog для последующего прочтения, вы можете сохранить его в файл. Auditlog поддерживает несколько способов. Для простой записи отчета указите опцию /write:: auditlog /write:\path and filename
где path - имя UNC или отображенного диска для местоположения файла. (Не забудьте указать расширение .txt, это текстовый файл). Будьте внимательными при сохранении файла в правильном месте. Если вы не укажите маршрут, auditlog не предупредит вас, что не смог сохранить файл. Сохраненный файл будет выглядеть приблизительно так: User, Logon Type, Logon Date, Logon Time, Logoff Type, Logoff Date, Logoff Time, Connection Time Administrator: Logon, 3/29/2002 17:47 , Logoff, 3/29/2002 17:48 ,00:01:08 Administrator: Logon, 4/8/2002 12:38 , Logoff, 4/8/2002 12:40 ,00:01:16 Administrator: Logon, 4/8/2002 12:43 , Logoff, 4/8/2002 12:44 ,00:01:17 Scott: Logon, 4/8/2002 12:41 , Logoff, 4/8/2002 12:44 , 00:03:19 ChristaA: Logon, 3/27/2002 20:54 , Logoff, 3/27/2002 20:54 ,00:00:02 ChristaA: Logon, 3/29/2002 17:56 , Logoff, 3/29/2002 17:56 ,00:00:00 ChristaA: Logon, 4/8/2002 12:37 , CurTm, 4/8/2002 13:26 ,00:49:26
Если вы хотите вручную редактировать файл, то можете сделать отчет в файл с разделительными запятыми, который вы можете затем импортировать в Excel. Чего вы не можете сделать - это создать отчет, который использует фильтры типа /time или username, поэтому отчет будет содержать все пользовательские подключения.
Если вы хотите отфильтровать сохраненные журналы событий, вы можете сделать это с опцией /eventlog, но вы должны будете сохранить журнал с опцией /clear. (Auditlog не может открыть сохраненный журнал, если вы не сохранили его с опцией /clear - возможно потому, что журнал Security log, от которого зависит сохраненный файл, все еще открыт во время использования опции /write). Чтобы очистить текущий файл auditlog и сохранить его в файл, введите команду auditlog /clear:path and filename
Эта команда создаст журнал, который выглядит точно так, как тот, который вы создавали с опцией /write, но который вы можете загрузить и фильтровать.
Хотя вы не обязаны сохранять журнал в файл при использовании /clear, я настоятельно рекомендую это делать. Поскольку журнал сохраняется в текстовом виде, он не будет занимать много места, но при очистке журнал исчезает и нет никакого способа его вернуть; журнал Security log также очищается. После того, как вы очищаете журнал, вы не сможете сделать никакого исторического анализа событий, не используя /eventlog для загрузки сохраненного файла.
Для загрузки сохраненного ранее файла журнала и применения к нему фильтров, используте опцию /eventlog с именем сохраненного файла журнала. Например: auditlog /eventlog:path and filename
Теперь вы можете применять фильтры содержимого тем же способом, котором прменяли их при использовании auditlog не с сохраненными данными - просто добавьте опции фильрации после загрузки файла..
Вы можете автоматически создавать журналы аудита, используя команду at. Чтобы получить информацию о синтаксисе этой команды, введите с командной строки at /?
Затем используйте команду для записи временных резервных журналов или для очистки журнала безопаснтсти и записи содержимого в файл.
