Синтаксический анализатор журнала: получение уникальных рекордных чисел
Я играл с Синтаксическим анализатором Журнала прошедшие несколько дней, мы пытаемся сохранить идентификаторы определенного события из журналов безопасности наших Контроллеров домена. Поскольку это журналы объема интенсивного трафика, данные в них имеют тенденцию не сохранять больше, чем между 15 и 30 минутами. Поэтому я должен выполнять этот запрос каждые 10 минут или поэтому как запланированную задачу, чтобы удостовериться, что я не теряю данных.
Я имею (наконец!) сумел получить запрос, идущий, который вытягивает соответствующие данные из журналов с соответствующими идентификаторами события, и запишите это в базу данных SQL. Проблема, которую я имею, состоит в том, что избранный оператор приводит к сбою с "неизвестным полем" ошибку, если я пытаюсь вытянуть свойство EventRecordID (который я вижу в XML для любого события).
Это действительно генерирует RecordNumber; однако, это число, кажется, касается запроса, не самой записи события. Это означает, что у меня есть уникальное рекордное число для каждого события каждый раз, когда я выполняю запрос, поэтому если событие находится все еще в журналах по нескольким последовательным выполнениям, это записано в базу данных многократно.
Как я могу заставить это записывать только один экземпляр вентилятора в базе данных?
Хорошо, поэтому я не знаю, что на самом деле есть ответ на этот вопрос. т.е. документация/описание поля RecordNumber или почему Log Parser не может прочитать поле EventRecordID.
Однако, один из ответов на этот вопрос ServerFault все равно позволит мне выполнить то, что мне нужно. (Я перевернул этот ответ, но операционная система не отметила его как решение)
Решение заключается в использовании файла контрольной точки, который записывает последний запущенный запрос парсера журнала, и читает только новые записи из указанного журнала. Это не только обеспечивает чтение уникальных записей из журнала (и, что более важно, запись в базу данных), но и повышает эффективность запроса.
В этой старой статье TechNet есть некоторая информация о контрольной точке, зарытая глубоко в , и краткое описание ее использования тоже в этом посте блога.
.