<div>Just to clarify,</div>
<div> </div>
<div>Eventlog_new Should be a cleaner command line, and should cut down in time to complete.</div>
<div> </div>
<div>IT will NOT return the Message field of the events!</div>
<div> </div>
<div>TOny (Author of NC_NEt) <br><br> </div>
<div><span class="gmail_quote">On 10/5/07, <b class="gmail_sendername">Florencio Cano</b> <<a href="mailto:florencio.cano@gmail.com">florencio.cano@gmail.com</a>> wrote:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Thanks. You gave me some valious point to continue my work. I was not<br>using the last version of NC_Net. I will try EVENTLOG_NEW and I will
<br>try to implement any of the solutions that you have commented. I will<br>post any result I get.<br><br>2007/10/4, Anthony Montibello <<a href="mailto:amontibello@gmail.com">amontibello@gmail.com</a>>:<br><br>> WMI should solve this problem for you.
<br>><br>> First off, make sure your using the current version of NC_NEt 4.1a and you<br>> would have access to a more optimized event log check called "eventlog_new"<br>><br>> The Output is the same, thus it does not give what your are looking for.
<br>> (but it may be more optimized than the WMI You would need to test this.)  if<br>> it is a quicker test, I recomend using it and setting up event handlers or<br>> manually running check_nt using WMI to get the file name.  note this assumes
<br>> that you normally do not get an alert , so you would want the checking to<br>> induce the least load.<br>><br>> If you know the names of the files you can setup seperate checks using the<br>> REGEXP of the EVENTLOG_NEw and this would serve as a workaround.
<br>><br>> If your looking for the files being modified. FILEAGE may be a good<br>> workaround.<br>><br>> you should be able to setup an event handler that takes the EVENTID reported<br>> by EVENTLOG check and runs a WMICAT, querry the WMI (Windows Managment
<br>> interface) for the Event Log Message.<br>> CLASS - CIMV2  Win32_NTLogEvent -has the events  and the messeges in it.<br>> writing a querry to it may be tricky but if you need the File mane from the<br>> Message field this is the way to get it without writing new scripts, or
<br>> paying for upgrades.<br>><br>> or just run WMI checks directly and use wrapper scripts to interpret the<br>> results.<br>> please not on this, if a querry has no match there may be a NO OUTPUT error.<br>
<br>--<br>Florencio Cano Gabarda<br></blockquote></div><br>