Доброго времени суток господа...
У меня возникло несколько вопросов, но сначала введу в курс дела.

В "локальные параметры безопасности/локальные политики/политика аудита/аудит входа в систему" ведётся журнал в файл security.log, но он защищён системой и его не прочитать, ни копировать, ни удалить нельзя...
Благо он дублируется в SecEvent.Evt, который представлен в бинарном виде, что неудобочитаемо...
=(((
Но можно экспортировать его в текстовой файл, с разделителем либо "табуляция" либо "запятая" из "Просмотр событий/Журнал безопасности"...

А теперь вопросы:
1. Можно ли экспортировать этот журнал автоматически??? (Т.Е. прописав команду с ключами в командной строке или подобный метод)
2. Точно регистрируется вход в систему (событие номер 528), а какой номер несёт событие выхода из системы и как включить его отслеживание???
3. Если ответы на первый и второй вопросы положительные, то можно ли при экспортировании с помощью тех же ключей (если ключей) задать фильтры на событие входа в систему (№528) и выхода (№?)???

Искренне благодарен тем кто откликнется...

Теперь немного о том зачем мне это надо:
Получил задание написать программу которая способна отслеживать сколько часов проработал сотрудник на компьютере...
Пишу на вижл бэсике...
АПИ функции сказали пока не трогать, а работать с текстовым файлом...
Текстовой файл раньше получал от программы Dumpel (dumpel.exe) из Windows 2000 Server Resource Kit...

Прошу Вас, пожалуйста, помогите...
Респект участникам форума...
Искренне Ваш Hardman.

Hardman
Здравствуйте. Вливайтесь в наш коллектив!

журнал безопасности конечно ведется, вопрос для вас открыт как мне кажется в другом - кто им управляет? Управляет им оснастка Event Viewer (Start -administrative tools), либо из консоли eventvwr.msc. В ней представлены все журналы операционной системы. Через контекстное меню имеется возможность просматривать их свойства и выполнять их очистку и сохранение в различных форматах (внутреннем, текстовом и запятыми и табуляцией). Думаю что-то вам должно подойти.

1. Можно ли экспортировать этот журнал автоматически??? (Т.Е. прописав команду с ключами в командной строке или подобный метод)
есть стандартные команды для работы с журналами (Windows 2003 я имею в видуEventcreate
Eventquery
Eventtriggers
Evntcmd
Попробуйте Eventquery в режиме батника по расписанию:
eventquery /l system > %date%.txt
2. Точно регистрируется вход в систему (событие номер 528), а какой номер несёт событие выхода из системы и как включить его отслеживание???

Конечно на сайте Microsoft.com нужно искать:
К примеру есть спец ресурс: windows server 2003 Events and Errors (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/support/EE_winnetsvr.asp)
вводите номер события и вперед..
по вашему вопросу - сразу можно уже сюда. информация открыта и доступна:
Security 528 (http://www.microsoft.com/technet/support/ee/result.aspx?EvtSrc=Security&EvtID=528&ProdName=windows+operating+system&LCID=1033&ProdVer=5.2)
, а далее смотритя в связных статьях или выполняйте новый поиск.
3. Если ответы на первый и второй вопросы положительные, то можно ли при экспортировании с помощью тех же ключей (если ключей) задать фильтры на событие входа в систему (№528) и выхода (№?)???
не вопрос. ответы положительные и справка ОС по eventquery, выдает возможные фильтры:/fi FilterName
Specifies the types of events to include in or exclude from the query.

Datetime eq, ne, ge, le, gt, lt mm/dd/yy(yyyy), hh:mm:ssAM(/PM)
Type eq, ne {ERROR | INFORMATION | WARNING | SUCCESS | SUCCESSAUDIT | FAILUREAUDIT}
ID eq, ne, ge, le, gt, lt
User eq, ne
Computer eq, ne
Source eq, ne
Category eq, ne

интересный вопрос

1. как уже сказал SkyF с помощью вышеуказ. команд
напр. в таком варианте:
CSCRIPT %SYSTEMROOT%\system32\eventquery.vbs /fi "ID eq 538" /v /l security >result.txt
/v - расшир. вид журнала

2. Security 538 (http://www.microsoft.com/technet/support/ee/result.aspx?EvtSrc=Security&EvtID=538&ProdName=windows+operating+system&LCID=1033&ProdVer=5.2)

второй вариант, evntwin.exe
кста. события там можно расшифровывать
ну это пока предположение, будем думать

Доброго времени суток...
Уважаемые SkyF и Fighter, прошу прощения, я совсем не сказал что я работаю с 2000 про...
Соответсвенно ни скриптов ни программ там нету... =(((
Если же самому попробывать экспортировать из 2003 или сделать VBS-ничек, то 2000 не подхватывает...
Надеюсь на Ваше понимание, и помощь...
Nameon Hardman...

что говорит по этому поводу M$:
How to use the Event Query Script tool (Eventquery.pl) in Microsoft Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;en-us;317381)
How to use the Event Log Query tool (Elogdmp.exe) to display Event Log information in Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;en-us;323006)
How to use the Event Log Management Script tool (Eventlog.pl) to manage event logs in Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;en-us;318763)
Eventquery.vbs (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/eventquery.mspx)

Чтобы выполнить данный сценарий, необходимо запустить CScript. Если программа CScript не является используемым по умолчанию сервером сценариев Windows, введите следующую команду:
cscript //h:cscript //s //nologo

Доброго времени суток...
Уважаемый Fighter, "C:\WINNT\system32\eventquery.vbs(1, 1) Ошибка компиляции Microsoft VBScript: Предполагается наличие инструкции"...
Что я сделал не так??? :(
Господа, прошу у Вас прощения, я знаю что это мои проблемы, но я совсем не дружу с английским...
=(((
Пли-и-иззз помогите...
:sorry: :sorry: :sorry:

предпоследняя фраза по-моему лишняя :)
здесь вряд ли можно сказать что либо однозначно,
нюансов много может быть
запускаете так?
CSCRIPT C:\WINNT\system32\eventquery.vbs /параметры

Log Parser 2.2
Overview
Log parser is a powerful, versatile tool that provides universal query access to text-based data such as log files, XML files and CSV files, as well as key data sources on the Windows® operating system such as the Event Log, the Registry, the file system, and Active Directory®. You tell Log Parser what information you need and how you want it processed. The results of your query can be custom-formatted in text based output, or they can be persisted to more specialty targets like SQL, SYSLOG, or a chart.

Most software is designed to accomplish a limited number of specific tasks. Log Parser is different... the number of ways it can be used is limited only by the needs and imagination of the user. The world is your database with Log Parser.
я совсем не дружу с английским...
translate.ru (http://www.translate.ru/text.asp?lang=ru)

взять можно с сайта MS:
LogParser.msi (http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en)

Если есть задача получать уведомления через электронную почту о каком-либо событии (например событии безопасности определенного номера) можно поступить так:

Используя Планировщик заданий и утилиту, упоминавшуюся Hardman'ом dumpel.exe из Windows 2000 Server Resource Kit,а также бесплатную утилиту отправки почтовых сообщений Blat (http://www.blat.net/).

Создайте сценарий, который будет при помощи dumpel.exe экспортировать в файл события, к примеру с номером ID 644.
Далее укажите выходной файл как исходный для почтового клиента Blat и отправляйте на адрес электронной почты.
Вот пример сценария:
dumpel
-e 664
-l security
-m security
-format Idts
-f event.txt

blat event.txt
-t yourname@yourcompany.com
-s "Yesterday's Account Lockouts"
-f yourname@yourcompany.com
-i someserver
-server smtp.yourcompany.com


И в заключении, через планировщик создайте задания и задайте расписание на ежедневное выполнение.