Permalink

1

HowTo: Exchange 2007 Logs und Logparser

Im Moment gibt es bei Exchange 2007 keinen einfachen Weg um zu sehen welche Benutzer zum Beispiel RPC/http (Outlook Anywhere), Exchange ActiveSync, oder Outlook Web Access brauen. Ganz zu schweigen davon eine Aussage zu haben, wie häufig über einen dieser Kanäle zugegriffen worden ist. Diese Informationen befinden sich im Logfile des IIS auf dem Client Access Server (CAS). Allerdings ist dieses Logfile ziemlich unübersichtlich und gepackt mit Informationen. Um hier den Durchblick zu behalten und nur die nötigen Information herauszuziehen, hätte man unter UNIX diverse Tools in der Shell. Für Windows gibt aber Abhilfe. Microsoft hat ein kleines Tool namens Logparser auf ihren Downloadseiten. Mit diesem kleinen Kommandozeilen Programm kann man, wie es der Name schon sagt, das Logfiles parsen. Hier ein paar Beispiele, welche alle vom Standard Speicherort des IIS-Logs ausgehen.

Zeigt RPC/HTTP (Oulook Anywhere) Benutzer nach Aktivität sortiert an:

logparser „SELECT cs-username, Count(*) AS RPCProxyHits from c:\windows\system32\logfiles\w3svc1\ex*.log WHERE cs-uri-stem LIKE ‚%rpcproxy.dll%‘ AND cs-username IS NOT NULL GROUP BY cs-username ORDER BY RpcProxyHits Desc“ -rtp:-1

Beispiel Output:

cs-username RPCProxyHits
——————————– ————
peaches\XYZ 13067
peaches\XYZ 6256
peaches\YXZ 6003
peaches\XYZ 4635

Sortiert ActiveSync Benutzer nach Aktivität und zeigt die benutzen Geräte:

logparser „SELECT cs-username AS UserID, cs(User-Agent) AS DeviceType, count (*) FROM c:\windows\system32\logfiles\w3svc1\ex*.log WHERE cs-uri-stem LIKE ‚%Microsoft-Server-ActiveSync%‘ AND cs-username IS NOT NULL GROUP BY UserID, DeviceType ORDER BY UserID“ -rtp:-1

Beispiel Output:

UserID DeviceType COUNT(ALL *)
—————- ——————– ————
peaches\XYZ MSFT-SPhone/5.1.3001 8669
peaches\XYZ MSFT-SPhone/5.2.203 2169
peaches\XYZ MSFT-SPhone/5.2.200 4054

Sortiert ActiveSync Benutzer nach Aktivität, zeigt die benutzen Geräte und gibt die Daten als Grafik aus. Die GIF-Datei wird dabei in den Programm Ordner von Logparser kopiert:

logparser „SELECT cs(user-agent), count(*) as Devices into chart.gif from c:\windows\system32\logfiles\w3svc1\ex*.log WHERE cs-uri-stem LIKE ‚%microsoft-server-activesync%‘ and cs-username is NOT NULL GROUP BY cs(User-Agent) ORDER BY Devices desc“ -charttype:pieexploded3d -ChartTitle:“Device Activity by Type“ -categories:OFF

Beispiel Output:

logparser.JPG

Autor: Christoph Müller

Christoph Müller ist Consultant, Blogger und Podcaster rund ums Thema SharePoint, Digital Transformation, Cloud, Mobile und Netzpolitik.