Я пытаюсь извлечь, когда конкретный пользователь вошел в систему на SFTP-сервере с использованием журналов Bitvise. Для запуска этих журналов я решил использовать Log Parser. Возникли проблемы с запросом, который я написал.
Я начал использовать Log Parser 2.2 и продолжал сталкиваться с ошибкой, связанной с дублированием атрибутов, поэтому я решил переключиться на Log Parser Studio, чтобы мне было проще. Моя единственная проблема заключается в том, что запрос, который я использовал в Log Parser 2.2, не работает в Log Parser Studio.
Этот запрос:
LogParser -i:XML -o:CSV -fNames:XPath -fMode:Tree SELECT
/log/event/@time, /log/event/session/@windowsAccount,
/log/event/session/@virtualAccount
FROM Logs\*.log
WHERE /log/event/session/@virtualAccount = 'accountName' AND
/log/event/@name = 'I_LOGON_AUTH_SUCCEEDED'
Чтобы настроить Log Parser Studio, этот запрос теперь выглядит следующим образом:
SELECT /log/event/@time, /log/event/session/@windowsAccount,
/log/event/session/@virtualAccount FROM *.log WHERE
/log/event/session/@virtualAccount='accountName' AND
/log/event/@name='I_LOGON_AUTH_SUCCEEDED'
И должен захватить все события с именем 'I_LOGON_AUTH_SUCCEEDED' конкретным пользователем "accountName", но на данный момент это не так. После изменения я продолжаю получать следующую ошибку:
Error parsing query: WHERE clause: Semantice Error: content contains a
STRING value ("accountName") which cannot be parsed by the input context:
Value "accountname" is not an integer [SQL query syntax invalid or
unsupported.]
New Query
XMLLOG
Я также заметил, что при выполнении следующего запроса:
SELECT *
FROM *.log
ни одна из учетных записей со строками в качестве имен не отображается, только те, которые являются целыми числами.
Буду признателен за любую помощь.