Tem certeza de que deseja filtrar por EventType e não por EventID?
EventType 1 = Error, 2 = Warning, que existem em outros logs, mas não no log de segurança.
O log de segurança conterá apenas os tipos: 8 = Sucessos, 16 = Falha.
link
Eu gostaria de protocolar todos os logins do windows com logparser. Tudo funciona bem para aplicativos ou sistemas, mas não em segurança.
O script é assim:
"C:\Program Files (x86)\Log Parser 2.2"\logparser.exe -i:EVT -o:TPL -tpl:"C:\scripts\CheckServices\Logparser.tpl" "SELECT TimeGenerated,EventID,EventType,EventTypeName,EventCategory,EventCategoryName,SourceName,Strings,ComputerName,SID,Message FROM \127.0.0.1\Security WHERE TimeGenerated > TO_TIMESTAMP(SUB(TO_INT(TO_LOCALTIME(SYSTEM_TIMESTAMP())),1200)) AND EventType IN (1;2) ORDER BY TimeGenerated DESC" -q:ON -stats:OFF >> c:\temp\failed.html
(O período de tempo de 1200 foi feito intencionalmente à medida que executamos o script nesse ciclo)
Eu gostaria de obter dois arquivos:
Como posso conseguir isso?
Tem certeza de que deseja filtrar por EventType e não por EventID?
EventType 1 = Error, 2 = Warning, que existem em outros logs, mas não no log de segurança.
O log de segurança conterá apenas os tipos: 8 = Sucessos, 16 = Falha.
link
É difícil afirmar exatamente por que não está funcionando sem uma mensagem de erro ou descrição do problema. Clayton é provavelmente a resposta certa, mas você também vai querer ter certeza de que o seu ambiente que lança seu script / tarefa / etc. tem privilégios suficientes para acessar o log de segurança, já que requer um nível mais alto de privilégios.
Por fim, a menos que você seja um grande fã de scripts, eu também recomendaria procurar em um produto de log de eventos que deveria ser capaz de fazer a mesma coisa em tempo real. Por exemplo, EventSentry Light (totalmente gratuito, sem registro) pode gravar eventos em um arquivo de texto em tempo real.