Microsoft Log Parser, la gran desconocida – parte 2

Hola a todos, hoy seguimos con la saga de log parser, continuaremos aprendiendo un poco más sobre esta herramienta, antes de empezar me gustaría volver a mencionar que en el directorio donde hemos instalado log parser hay un fichero de ayuda en formato .chm que recomiendo encarecidamente que lo leáis ya que os será de mucha ayuda para entender cómo funciona y las posibilidades que tiene Log Parser.

Siguiendo la línea del anterior post, os recuerdo que la sintaxis sql nos permite mucha flexibilidad, y como tenemos que aprender un poco de sql que mejor manera que con algúnos ejemplos;  queremos ver los TOP 10 eventos de System (ejemplo sencillo para que aprendamos un poco de sintaxis).

TIP: El |clip es PARA GUARDAR el resultado en el portapapeles y luego con control-v lo pegamos en cualquier editor de texto, ejemplo: notepad++ (lo sé, me repito mucho con este editor, pero la verdad es que me encanta). Veamos el resultado en el editor.

La segunda imagen es la continuación de la primera. Con el Select podemos elegir los campos que queremos obtener, si deseamos por ejemplo que nos muestre los top 10, pero solo queremos ver los campos EventLog, EventID y TimeGenerated y además queremos que nos los muestre de registro de eventos System y que nos lo ordene por TimeGenerated, para ello utilizaremos la cláusula ORDER BY como podemos ver en el siguiente ejemplo:

El poder ordenar la información que obtenemos por el campo que deseemos, nos permitirá obtener información precisa y correlativa, cosa que en muchos casos será necesaria.

Pongamos otro ejemplo, pero esta vez algo más enrevesado, observemos la siguiente imagen:

Si os fijáis nos encontramos con que en el campo Strings, me interesa encontrar el contenido “SYSTEM”, además el contenido de strings está delimitado por el PIPE ( | ), para ello utilizamos la FUNCIÓN EXTRACT_TOKEN() y la expresión LIKE para especificar qué es lo que buscamos, como podéis observar la cosa se va complicando, pero estamos practicando, creando consultas más interesantes que debemos sedimentar para poder sacarle jugo a esta herramienta.

Pasemos a otras opciones interesantes, cambiaremos un poco a otro método de entrada FS, que nos permitirá trabajar con archivos y directorios, como siempre veamos como obtener ayuda y unos ejemplos:

Para obtener ayuda sobre un método de entrada, ya lo hemos explicado pero lo repito:

Logparser.exe -h -i:FS

LogParser.exe "Select Name FROM C:\*.*" -i:FS -recurse:0

Ojito con la opción -recurse:0 sino la ponéis os saldrán todos los subdirectorios.

Queda chulo, pero me faltan datos, vamos a buscar lo mismo pero quiero saber también el tamaño de los archivos y que me los ordene, así al menos tendré algo de datos.

Ahora voy a utilizar una función que a más de uno le va a gustar, HASHMD5_FILE() nos calculará el HASH MD5 del archivo, veamos un ejemplo:

También nos puede interesar ver el último acceso al archivo o cuando se creó, aquí os pongo un ejemplo:

LogParser.exe "SELECT Name, CreationTime, LastAccessTime, HASHMD5_FILE(Name) FROM *.*" -i:FS -recurse:0

Y creo que por hoy ya hay bastante, cada vez vamos aprendiendo nuevas funciones y métodos de entrada, poco a poco, espero que os esté gustando esta herramienta y como siempre abajo tenéis los comentarios, por si queréis decirnos algo. XD

Hasta otra aprendices.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.