Windows Server 2012 WorkGroup ve Domain Member Server DCOM,WMI Yetkilendirmesi

Domain Üyesi Olmayan bir Windows Server 2012 sunucudan WMI ile Log okuma yetkilerinin yapılandırılması

WMI – Windows Management Intrumentation : İşletim sistemi üzerindeki tüm işlemlerin yönetilmesini, tüm objelere erişilmesini sağlar. Büyük ağlarda sistemin tek merkezden yönetilmesinde standart olarak kullanılan teknolojidir.

http://technet.microsoft.com/en-us/library/ee692772.aspx adresinden ön bilgiler edinilebilir. Zaten burada tekrar yazmaya gerek yok.

Buradaki amaç sunucu üzerinde yönetimsel yetki vermeden bir log yazılımı için, Security Log lara okuma yetkisi ile erişim sağlanması.

Domain üyesi olmayan Windows Server 2012 sunucuda yerel bir kullanıcı hesabı açılır.

1.       Adım DCOM yapılandırması

Distributed COM sunucu, yerel sistem üzerindeki yazılım bileşenleri ile ağ üzerindeki diğer sistemlerle olan iletişim için Microsoft tarafından geliştirilmiş teknolojidir.

Windows + R --> Run --> dcomcnfg yazılır ve Ok butonuna tıklanır. Ekrana gelen Component Services penceresinde Component Services à Computers à My Computer üzerinde sağ tıklanır ve açılan menüden Properties seçilir.

Ekrana gelen My Computer Properties penceresinde COM Security tabında Launch and activation bölümünde Edit limits tıklanır ve açılmış kullanıcı hesabı aşağıdaki gibi yetkilendirilir.

Aynı şekilde Access Permissions bölümünde de aşağıdaki resimde görüleceği şekilde açılmış olan kullanıcıya verilir.

Ayrıntılı bilgi için.

http://msdn.microsoft.com/en-us/library/aa393266.aspx

DCOM Config başlığı tıklanır ve Windows Management and Instrumentation üzerinde sağ tıklanır ve açılan menüden Properties seçilir. Security tabunda Launch and Activation Permissions bölümünde Edit butonuna tıklanır. İlgili kullanıcıya Local,Remote Launch ve Local, Remote Activation izinleri verilir.

2.       WMI ayarları

Windows + R --> Run --> wmimgmt.msc yazılır ve Ok butonuna tıklanır. Ekrana gelen pencerede WMI Control (Local) başlığı üzerinde sağ tıklanır ve açılan menüden Properties seçilir. WMI Control (Local) Properties penceresinde Security tabında Root altında CIMV2 seçilir ve Security butonuna tıklanır. Kullanıcı için execute Methods, Enable Account ve Remote Enable izinleri verilir.

3.       Service Control Manager yapılandırması

Windows Servislerini çalıştıran ve durduran işleme denir. Sistem açılışında wininit tarafından çalıştırılır. WMI ile DCOM vasıtasıyla sisteme erişim yapıldığında Event Log lara erişmede gerekli servisin  kullanılabilmesi için yetki verilmesi gerekebilir.

sc sdshow SCMANAGER

D:(A;;CC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU) S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

komutu ile olan yetkiler yada yapılandırma görülebilir.

Aşağıdaki komutla da yetki verilecek kullanıcının SID i yazılarak komut uygulanır.

sc sdset  SCMANAGER  D:(A;;CC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPRC;;;S-1-5-21-2571268136-16045641-3409490944-1002)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

4.       Event Log İzinlerinin yapılandırılması

Wevtutil aracı ile gerekli yetkiler verilebilir. Öncelikle Event Log okuma yetkisi için wmic komutu ile açılmış olan kullanıcının SID bilgisi öğrenilir.

wmic useraccount get name,sid

C:\Windows\system32>wmic useraccount get name,sid

Name                   SID

Administrator  S-1-5-21-2571268136-16045641-3409490944-500

Guest                   S-1-5-21-2571268136-16045641-3409490944-501

lculocal                S-1-5-21-2571268136-16045641-3409490944-1002

wevtutil komutu ile önce olan izinler bir metin dosyasına çıkarılır.

C:\Users\Administrator> wevtutil gl "Security" > Desktop\security.txt

Oluşan dosyanın içindeki channel Access kısmındaki yetki tanımlamaları görülebilir.

Kullanıcının SID ve yetkileri wevtutil aracı ile komut satırından yazılarak verilir.

wevtutil sl "Security" /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-21-2571268136-16045641-3409490944-1002)

İlgili kullanıcının SID i eklenmiş hali.

5.       Yerel Bilgisayardaki ve Ağ üzerindeki Güvenlik Duvarı ayarları

49152-65535 arası portlar Windows Server 2008 ve sonrası işletim sistemlerinde geçerli olarak, tüm ağ içindeki wmi trafiği geçecek firewall lar üzerinde izin verilir.  İşletim sistemi üzerindeki Güvenlik Duvarlarında da aynı şekilde port izinlerinin verilmesi gerekir.

Yerel bilgisayarda WMI bağlantısı için statik port belirlenebilir. Bu yol geniş ağlarda daha tercih edilebilir ve güvenli bir yol olacaktır.

Aşağıdaki resimde görüleceği üzere Run à dcomcnfg çalıştırılır. Component services  à Computers à My Computer à DCOM Config seçilir. Sağdaki bölümde Windows Management and Instrumentation özelliklerinde Endponts sekmesine gidilir. Connection-oriented TCP/IP özelliklerinde Use static endpoint kısmına port numarası verilir. OK butonlarına tıklanarak işlem bitirilir.

Yetkili kulanıcı ile açılan komut isteminde aşağıdaki komutlar verilir.

winmgmt -standalonehost

net stop "Windows Management Instrumentation"

net start "Windows Management Instrumentation"

netsh firewall add portopening TCP 51000 WMIFixedPort

6. Adım Kulanıcı için grup ve Security Policy ayarlarının yapılandırılması
Kullanıcı hesabı yerel makinedeki Event Log Reader grubuna üye yapılır.
Local Security Policy içinde Local Policies --> User Right Assignments --> Manage auditing and security logs izni ilgili kullanıcıya verilir.

Ayrıntılı bilgi için

http://msdn.microsoft.com/en-us/library/bb219447(VS.85).aspx

Sorun giderme adımları aşağıdaki linkte ilk elden görülebilir.

http://msdn.microsoft.com/en-us/library/aa394603%28v=vs.85%29.aspx

WMI Portlarının yapılanrılması ile ilgili aşağıdaki linke bakabilirsiniz.
http://support.microsoft.com/kb/154596/en-us

Microsoft Exchange transport service is running but the forefront agent is not registered hatası

Edge yada Sunucularda yüklü olan ForeFront Exchange Transport Servisi ile entegre çalışır. Bazı durumlarda sunucular yeniden yada Exchange Servisleri yeniden başlatıldığında ForeFront Exchange Transport Servisine Entegre (Register)​ olamayabilir. Bu durum SCOM alarmları, ForeFront konsolundaki "ms exchange transport service is running but the forefront agent is not registered", Spam mesajların artması, Event Viewer da tespit edilebilir.  Bu durumda Frofront for exchange yüklü olan sunucuda  
Microsoft Exchange Transport ve Microsoft Forefront server Protection Controller servisleri durdurulur.
C:\Program Files (x86)\Microsoft Forefront Protection for Exchange Server klasörüne gidilir.
FSCUtility.exe /enable komutu uygulanır.

Microsoft Exchange Transport ve Microsoft Forefront server Protection Controller servisleri başlatılır.
FSCUtility.exe /status komutu uygulanır ve aşağıdakimesajın komut çıktıaının en alt satırında görülürse sorunun giderildiği anlaşılır.
"Status:  Microsoft Forefront Protection currently integrated."

Mailbox Size Limit - Mailbox Kota değerlerinin hemen aktif olmasının sağlanması

• Geçerli olarak 2 saatte bir kota ve diğer mailbox lar ile ilgili bilgiler yenileniyor. Bu süre Registry ayarları ile düzenlenebiliyor. Tabii bu sürenin beklenmesi bazen mümkün olmayabilir. Information Store Servisnin yeniden başlatılması ayarların hemen geçerli olmasını sağlayacaktır. Ancak bu her zaman uygulanabilir bir çözüm olmayabilir.Bu durumda hemen uygulanabilecek diğer çözümler.
  1. DAG yapısında kullanıcının mailbox ının olduğu veritabanının diğer sunucuda Information Store Servisinin yeniden başlatılarak aktif edilmesi, büyük yapılarda bu durum gözetilerek genel olarak kampanya, tanıtım, işten ayrılan personellerin, sistem mail lerine ait mailboxların/veritabanlarının bu sunucuda aktif tutulması ile sistemde önemli bir etki yaratmadan bu tip işlemler yapılabilir.
  2. Kullanıcın Mailbox ının Disable edilmesi ve yeniden Enable edilmesi.
  3. Kullanıcının mailbox ının eğer mailbox küçükse diğer bir DB ye taşınması gibi.
  
  Ayrıntılı bilgiyi aşağıdaki adresten bulabilirsiniz.
  http://technet.microsoft.com/en-us/library/bb684892(v=exchg.80).aspx
  
  

Exchange Server 2010 Edge Server üzerinde Süresi dolan SMTP Sertifikasının yenilenmesi.

Operation Manager da aşağıdaki açıklama ile bir Alert görülürse, İlgili Exchange suncusunda sertifikanın yenilenmesi gerekir.
"The starttls certificate will expire soon. the certificate must be renewed to preserve mail flow."

Domain üyesi olmayan sunucular elle işlemlerin yapılması gerekecektir.

​Exchange Man. Shell de aşağıdaki komut ilgili sunucunun adına göre düzenlenerek verilir.

Set-Content -path ".\edge1.txt" -Value (New-ExchangeCertificate -GenerateRequest -KeySize 204

8 -SubjectName "c=TR, s=Cankaya, l=Ankara,o=Test A.S., ou=IT, cn=edge1.test.local" -DomainName edge1.test.local, edge1 -PrivateKeyExportable $True)

oluşan dosyanın içeriği kopyalanır. Sertifika sunucusunda https://msca/certsrv adresine bağlanılır. Request a certificate --> advanced certificate request --> Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file

Ekrana gelen pencerede Saved request bölümüne kopyalanan içerik yapıştırılır.

Certifiacte Template kısmında Web Server Seçilir ve Submit butonuna tıklanır. Ekrana gelen pencerede Download certificate ile sertifika kayıt edilir. Edge sunucuya kopyalanır.

Edge sunuda MMC ile Certificate konsolu Computer Account seçilerek açılır. Personel --> Certificates üzerinde sağ tıklanır Import ile sertifika Import edilir.

Edge sunucuda Exchange Management Shell açılır.

get-exchangecertficate komutu ile Import edilen sertiffanın Thumbprint i ekranda görüntülenir ve kopyalanır.

Enable-ExchangeCertificate -Thumbprint yenisertifikanınthumbprint -services SMTP komut ile yeni Sertifka aktifleştirilir.

Tekrar get-exchangecertificate komutu ile yeni sertifikanın Services kısmında S göründüğü kontrol edilir.

New-EdgeSubscription -filename "c:\1.xml" komutu ile yeni sertifika ile güncellenmiş xml dosyası oluşturulur.

 xml dosyası hub sunuculardan birine kopyalanır.

Exchange Management Console açılır Organization Configuration --> Hub Transport tıklanır. Sertifikası yenilenen edge sunucu seçilir. Active Directory Site bilgisi not edilir ve silinir. Actions kısmında New Edge Subscription seçilir, ekrana gelen pencerede Browse tıklanarak az önce not edilen Active Directory Sitesi seçilir. Subscription file kısmında edge sunucuda oluşturup Hub suncuya kopyalanan xml dosyası browse butınuna basılarak gösterilir ve New ve Finish butonları ile işlem bitirilir.

Exchange Management Shell açılır

Start-EdgeSynchronization​ komutu uygulanır. Biraz beklenir ve Test-EdgeSynchronization​ komutu ile SyncStatus Normal olarak gözlemlenir.

hata durumunda

Servicelerde Microsoft Exchange EdgeSync servisi restart edilebilir.

Test-EdgeSynchronization​ tekrar kontrol edilir.

TCP 50636 ile Hub sunucudan Edge sunucuya erişimin olduğu kontrol edilmelidir.

get-exchangecertficate komutu ile eski sertifikanın thumbprint i kopyalanır yada Exchange Management Shell kapatılmadıysa önceki verilen komut çıktısından kopyalanır.
Remove-ExchangeCertificate -Thumbprint 4E1E242....... ile eski sertifika Edge sunucuda silienir.

System Center Service Manager 2012 DataWareHouse üzerinde Management Pack Silinmesi

Service Manager Management sunucusu üzerinden silinen Management Pack ler Dataware House sunucusu üzerinden de silinir. Bazen işler yolunda gitmeyebilir ve DatawareHouse sunucusu üzerinden, Management Server kısaca Service Manager management Console ile silinen Management Pack silinmeyebilir. Bu durumda Managerment Rolüne sahip sunucudan aşağıdaki komut uygulanabilir.

1. Yol
İlk önce doğru Management Pack in Get-SCManagementPack komutu ile sorgulandığı kontrol edilir.
Get-SCManagementPack -ComputerName DW_Sunucu_Adi| ? {$_.name -eq "MP.Adi"}


Sonra aşağıdaki komutla silme işlemi yapılabilir.
Get-SCManagementPack -ComputerName DW_Sunucu_Adi| ? {$_.name -eq "MP.Adi"} | Remove-SCManagementPack


2. Yol
Olan DatawareHouse sunucusunu Unregister edip tekrar register etmek.

3. Yol
Yeni bir Datawarehouse sunucusu kurulumu yapmak.

Service Manager Power Shell Komutları

Bir kullanıcının Service Manager User Role Grup Üyeliğini  Bulmak
Management Sunucuda

Get-SCSMUserRole | where {$_.User -eq 'domainadi\kullaniciadi'} | fl DisplayName​


Service Manager 2012 R2 de WorkItem durumunu değiştirme.
Change WorkItem Status by Power Shell

SCSM01 yada management sunucusunda Service Manager Console içinde PowerShell açılır yada PowerShell içinde ServiceManager Modülü yüklenir.

 

Aşağıdaki komut ID değiştirilerek verilebilir.

get-scsmClassInstance -class (Get-SCSMClass -name System.WorkItem.ServiceRequest) | Where-Object {$_.ID -
eq "SR72632"} | %{ $_.Status = "In Progress"; $_ } | Update-SCSMClassInstance

http://technet.microsoft.com/en-us/library/hh519688.aspx

http://technet.microsoft.com/en-us/library/hh316267(v=sc.20).aspx

​Get-SCSMClass ile
System.WorkItem.Incident
System.WorkItem.Problem
System.WorkItem.ChangeRequest
System.WorkItem.ReleaseRecord
System.WorkItem.Activity

Exchange Connector 3.0 RTM yapılandırılan bir Service Manager 2012 ile E-Posta İletilerinin İşlenmesi

Service Manager 2012 konsolu için bir Web arayüzü bulunmamaktadır. Bu alanda ürün geliştirmiş firmaların yazılımları Service Manager 2012 ile entegre edilerek kullanılabilir. Kullanıcılar her zaman Service Manager Konsoluna erişecek imkanı bulamayabilirler. Netice konsolun bir bilgisayarda yüklü ve Service Manager management server erişimin olması gerekecektir. Service Manager 2012 versiyonu ve Exchange Connector 3.0 RTM  Mobil cihazlardan yada Internet erişimi olan bir bilgisayardan Service Manager tarafından gönderilen mesajlar belirlenmiş ifadelerle cevaplanabilir. Bu şekilde  konsol üzerinden yapılan temel işlemler E-Posta iletileri ile de gerçekleştirilebilir. Bu şekilde daha esnek ve zamandan kazanarak süreçlerin ilerletilmesi yada işlemesi sağlanabilir.
Exchange Connector 3.0 RTM sadece System Center 2012 SP1 - Service Manager yada System Center 2012 SP1 - Service Manager Update Rollup 2 üzerinde konfigüre edilebilir.

Temelde Service Manager üzerinde gelen E-Posta iletilerinde bakılan kısım Subject/Konu bölümüdür. Eğer konu kısmında Çalışma Öğesi/WorkItem kimliği varsa, gelen mesajın içeriğinde (Body) [ ] içerisinde Exchange Connector ayarlarında yapılandırılan ifadeler aranır.
Kısaca konu kısmındaki [ ] içerisinde belirtilen Work Item ID dediğimiz bu kimlik üzerinden hangi çalışma öğesinde, body kısmında [ ] içinde belirtilen ifadeye göre ne yapılacağı belirtilmiş olunur.

Konu kısmında Öalışma Öğesi kimliği olan E-Posta Mesajlarının işlenmesi
Service Manager tarafından gönderilen mesajların konu kısmında çalışma öğesi kimliği [ ] içerisinde yazılır. Örnek olarak [IR203] gibi.

Konu kısmında [ ] içerisinde Çalışma Öğesi kimliği olan bir E-Posta Service Manager tarafından izlenen E-Posta adresine geldiğinde E-Posta Çalışma Öğesine log olarak kayıt edilir (Action Log).

Eğer Service Manager Exchange Connector tarafından izlenen E-Posta adresine konu kısmında herhangi bir çalışma öğesi numarası, kimliği bulunamazsa 
Yeni bir Çağrı açılır.
Konu -> Çağrı başlığı
E-Posta içeriği Body -> Çağrı açıklaması
Ekler -> Çağrıya dosya olarak - Releated Items
Gönderen -> Etkilenen kullanıcı
Kime ve Bilgi -> İlişkili Yapılandırma Öğesi - Releated Configuration Item
Oluşturan -> WorkFlow Acount olarak belirlenir.

WorkFlow ile bu gelen yeni çağrı ilgili gruplara atanabilir. Öncelik, etki,atanan kullanıcı belirlenebilir.Öncelik ve etki atanmayan yeniş çağrılar için bu alanlar Low / Düşük olarak belirlenir.

Eğer mesaj içeriğinde [ ] içinde önceden belirlenmiş ifadelere rastlanırsa buna göre hareket edilir.
Exchange Connector ile gelen ifadeler üzerinden gidilecek olursak

[Acknowledged] Çalışma öğesi için Set First Responce, belirtilen durumla ilgili bir hareketin, çalışmanın yapıldığı, yapılmaya başlandığı belirtilir. Zaman olarak First Responce Time değeri önceden belirlenmemişse E-Postanın işleme alındığı tarih belirlenir. Incident ve Service Request için kullanılır.

[Closed] ilgili çalışma öğesinin Service Manager Veritabanından raporlama Veritabanına (DataWareHouse) yine Service Manager üzerinde belirlenen süreler geçtiğinde aktarılması için kullanılır. Genel olarak çalışma öğeleri kapatılmaz. Çünkü kapatılan öğeler üzerinde işlem yapılamaz. Kısaca Close Service Manager yöneticileri  tarafından kontrollü olarak organizasyonun çalışma disiplinine çözümlenen, tamamlanan çağrılara genel olarak nasıl  geri dönüp bakmak, raporlamak istediği ile ilgilidir. E-Posta gönderen çalışma öğesini kapatan olarak belirlenir. Incident, Service Request ve Problem Management için kullanılır.

Service Manager kurulumunda gelen çalışma öğesi adlandırmasına göre

Olay - Incident  [IR...]
[Resolved] Çağrı çözümlenir. E-Posta gönderen çalışma çağrıyı çözümleyen olarak belirlenir. Çağrının loglarına olay kaydı düşülür. E-Posta içeriği Resolution Description / Çözümleme notu olarak eklenir.

Sorun - Problem [PR...]
Service Manager tarafındna gönderilen bir Problem ile ilgili E-Posta cevaplandığında, Exchange Connector Gelen E-Posta nın içeriğini, ilgili problem kaydının günlüklerine, eklerini dosya olarak ekler. To ve CC deki diğer E-Posta adreslerini Promlemle ile ilişkili yapılandırma öğesi olarak belirler.

Hizmet İsteği - Service Request [SR...]
Service Manager tarafından gönderilen bir Service Request ile ilgili E-Posta cevaplandığında, Exchange Connector Gelen E-Posta nın içeriğini, ilgili Service Request kaydının günlüklerine, eklerini dosya olarak ekler. To ve CC deki diğer E-Posta adreslerini Service Request ile ilişkili yapılandırma öğesi olarak belirler. Exchnage Connector kurulumunda belirlenen Şablon uygulanır. Bir Service Request içindeki Etkinlikler için E-Posta mesajı gelirse ve tüm etkinlikler bitirilmiş ise, Service Request durumu Tamamlandı olarak belirlenir.Service Request durumumu In Progress ten, Completed olarak belirlenir.

İçeriğinde hiç etkinlik olmayan Service Request Submitted durumundan Completed durumunda dönüşür.
In Progress durumunda olan bir Service request için E-Posta içeriğinde [Completed]  yada kurulumda hanfi ifade belirlenmişse, Service Manager tarafında işlem yapılmaz. Bu durumla ilgili log düşülür.

Değişiklik İsteği - Change Request [CR...]
Service Manager tarafından gönderilen bir Change Request ile ilgili E-Posta cevaplandığında, Exchange Connector gelen E-Posta nın içeriğini ilgili Change Request  aydının günlüklerine ekler. Eklerini dosya olarak ekler. To ve CC deki diğer E-Posta adreslerini Change Request ile ilişkili yapılandırma öğesi olarak belirler. eğer gelen mesjajın içeriğinde (Body) [Approved] yada [Rejected] veya kurulumda hangi ifade belirlenmişse, meajı gönderenin Onay etkinliklerindeki oylama durumu belirlenir.

Etkinlik - Activity
[RA...]
Service Manager tarafından gönderilen bir review Activity ile ilgili E-Posta cevaplandığında, Exchange Connector gelen e-Postanın içeriğinde [Approved] yada [Rejected] veya kurulumda hangi ifade belirlenmişse ona göre davranır. Gelen E-posta daki tanımlı ifadelere göre Review Activiry içindeki oylama durmunu gönderen kullanıcıya göre belirler. Gruplar için atanan Activity için gelen mesajlar dikkate alınmaz. Gelen E-Posta içinde onay ve red ifadeleri aynı zmanda varsa geçerli olarak Review Activity içindeki oylayan kişi için red etti cevabı belirlenir. Review Activity içindeki onay durumu, Onayı istenen kişi tarafından gönderilen ikinci bir e-Posta ile değiştirilebilir. Ekler review Activity ile ilişkilendirilir. Review Activity durumu In Progress olmadığı sürece gelen mesajlar dikkate alınmaz ve hato logu düşülür. To ve CC deki E-Posta adresleri Review Activiy le ilişkilendirilir.

[MA...]
Service Manager tarafından gönderilen bir Mauel Activity ile ilgili E-Posta cevaplandığında, Exchange Connector  Maanuel Activiy için Note lanına gönderilen son mesajın içeriğini 4000 karaktere kadar ekler. Gelen mesajın içeriğinde etkinliğin bitirildiğine dair Exchange Connector kurulumunda belirlenen ifade bulunursa etkinlik tamamlanır. Ekler, To ve CC deki adresler Manuel Activity ile ilişkilendirilir.

Service Manager üzerinde yetkileri belirlenmiş kullanıcılara bu aktiviteleri haber vermek için gönderilen mesajların konu kısmında, mesaja nasıl geri döneceklerini belirtebilirsiniz.

Yararlanılan Kaynak
http://www.microsoft.com/en-us/download/details.aspx?id=38791

Owa IIS Log dosyalarının Log Parser ile raporlanması


Kullanıcının bağlantı kayıtlarının listelenmesi
c:\Program Files (x86)\Log Parser 2.2>logparser -i:IISW3C "select date, time, c-ip FROM C:\inetpub\logs\LogFiles\W3SVC1\*.* where cs-username like 'kullaniciadi' " ​

Hatalı oturum açma kayıtlarının kullanıcı bazında listelenmesi, kullanıcı adı yada parola hatası
c:\Program Files (x86)\Log Parser 2.2>logparser -i:IISW3C "select date, time, s-ip, cs-method,s-port, cs-username, c-ip, sc-status, sc-substatus, sc-win32-status FROM C:\inetpub\logs\LogFiles\W3SVC1\*.* where sc-status=401 and cs-username='kullaniciadi'"
Oturum açma işlemi sırasında kullanıcı adı için 'domainadi\kullaniciadi', 'domainadi.local\kullaniciadi' olarak yazılmış olabilir.

Bu durumda
(cs-username='kullaniciadi or cs-username='domainadi\kullaniciadi) olarak komut içinde yazılabilir.

Hatalı oturum açma kayıtlarının listelenmesi özellikle E-Posta hesaplarının kitlenmesi  durumunda kaynağın belirlenmesi için faydalı olabilir.
c:\Program Files (x86)\Log Parser 2.2>logparser -i:IISW3C "select date, time, s-ip, cs-method,s-port, cs-username, c-ip, sc-status, sc-substatus, sc-win32-status, cs-(User-Agent) FROM C:\inetpub\logs\LogFiles\W3SVC1\*.* where sc-status=401"​

cs-(User-Agent) ile bağlantı yapılan yazılım tespit edilebilir. Örneğin parolasını yenilemiş bir kullanıcının sürekli hesabının kitlenmesi durumunda, mobil cihazında parolasını güncellemeyi unutması gibi. Aşağıdaki örnek Log kaydı görülebilir.


2013-02-14 07:14:36 172.1.1.1 OPTIONS   443    domainadi\kullaniciadi 10.10.10.10 401       1  

1326            Android/0.3

Hatalı oturum açma kayıtlarının tarih verilerek listelenmesi ve belirli isimdeki dosayaların içinde aranmasının sağlanması - 

c:\Program Files (x86)\Log Parser 2.2>logparser -i:IISW3C "select date, time, s-ip, cs-method,s-port, cs-username, c-ip, sc-status, sc-substatus, sc-win32-status INTO c:\log.txt FROM C:\inetpub\logs\LogFiles\W3SVC1\u_ex12*.*  where sc-status=401 and cs-username='kullaniciadi' and (date>='2012-01-01'and date<='2012-01-01')"

IIS dosya adı biçimi

u_ex[yil][ay][gun].log

Hatalı oturum açma kayıtlarının tarih verilerek listelenmesi ve ayrı ayrı dosyaların içinde aranmasının sağlanması
c:\Program Files (x86)\Log Parser 2.2>logparser -i:IISW3C "select date, time, s-ip, cs-method,s-port, cs-username, c-ip, sc-status, sc-substatus, sc-win32-status INTO c:\log.txt FROM C:\inetpub\logs\LogFiles\W3SVC1\u_ex12.*, C:\netpub\logs\LogFiles\W3SVC1\u_ex1112*.* where sc-status=401 and cs-username='kullaniciadi'"

Syslog sunucusuna istenen IIS loglarının gönderilmesi
logparser -i:IISW3C "select * INTO @10.10.10.10 FROM C:\inetpub\logs\LogFiles\W3SVC1\*.* where cs-username like 'kullaniciadi'" -o:SYSLOG -hostname:10.10.10.10

Syslog sunucusuna belirtilen IIS log dosyalarının gönderilmesi

logparser -i:IISW3C "select * INTO @10.10.10.10 FROM C:\inetpub\logs\LogFiles\W3SVC1\u_ex1203*.*" -o:SYSLOG -hostname:10.10.10.10