ESM에서 서버의 진단로깅 설정을 최대로 변경한다.
MSExchangeIS - Mailbox logons, Send On Behalf Of
이렇게 하면 응용프로그램 이벤트에 로그온 기록이 남게 된다.
EventID는 1016으로 분석은 logparser로 해야 한다.
아래와 같이 하면....탭으로 분리된 TXT파일로 저장된다. 그래도 분석은 어렵다.
"C:\Program Files\Log Parser 2.2\logparser" -o:TSV "select timegenerated,EXTRACT_TOKEN(Strings,0,'|') as Viewer,EXTRACT_TOKEN(Strings,1,'|') as MBX into d:\%sQuery% from application where EventID=1016 and TimeGenerated > SUB( TO_LOCALTIME(SYSTEM_TIMESTAMP()), TIMESTAMP( '06', 'hh' ) ) ORDER BY timegenerated"
No comments:
Post a Comment