LogParserを使用した前日分のイベントログ収集について

Windows2000/2003Serverのイベントログを LogParserを利用して「前日分」のログを毎日収集しようと考えておりますが、「前日分」をSelectする為のWhere句が作れず苦慮しております。

RDBMS等で「前日分」データを抜く際は、システム日付を使用し『～ where to_char([日付項目],'YYYYMMDD') >= to_char(SYSDATE-1,'YYYYMMDD') and ～』といった形で範囲指定ができるのですが、LogParserで使用できる「システム日付」の書式も分かっておりません。

既にLogParserで運用されているなど、前日分の範囲指定を行う為のWhere句の書式をご存知の方がいらっしゃいましたら、是非ともご教示下さいますよう 宜しくお願い致します。


今の所、方々のサイトを拝見した結果、
・TimeGeneratedという日付項目を判断条件にする事。
・RDBMS等では、to_charを使用して日付項目を文字型にする事で「時間」の要素を排除していますが、LogParserではto_charは使用できず、to_stringを使う？という事。
・「SYSTEM_TIMESTAMP()」がシステム日付に当たる？という事。
以上のような内容が分かってきました(正しいかどうかは不安ですが・・・)。

No.1 ベストアンサー 回答者： celtis 回答日時： 2008/02/20 14:10

このコマンドで前日分のログが、LogParser直下にテキスト形式で抽出できると思います。

いろんなサイトの資料を見ながら適当に作ってみたので雑ですが試してみてください。

logparser "SELECT TimeGenerated, SourceName, Message INTO test.txt From System WHERE TO_DATE( TimeGenerated ) >= TO_LOCALTIME( SUB( SYSTEM_TIMESTAMP(),TIMESTAMP('3', 'd') ) ) AND TO_DATE( TimeGenerated ) <= TO_LOCALTIME( SUB( SYSTEM_TIMESTAMP(), TIMESTAMP('2', 'd') ) )" -resolveSIDs:ON

この回答への補足

おおっ！早速のご回答、誠にありがとうございます。
早速、明日(もう今日ですね)、実機にて確認の上、結果をご報告致します。

補足日時：2008/02/21 01:05

この回答へのお礼

お陰様で前日分のイベントログを取込む事ができるようになりました！

「-resolveSIDs:ON」のオプションも知らず、危うくSIDのまま取込んでしまう所でした・・・。

本当にありがとうございました！
重宝させて頂きます。

お礼日時：2008/02/22 03:03