生成数据

　　为了生成数据，我们在 DirectAccess 服务器和 HRA 服务器上运行了脚本。我们还使用任务计划程序将脚本配置为自动运行。我们将脚本配置为在 DirectAccess 服务器和所有 HRA 同时运行一次。

　　在 DirectAccess 服务器上收集数据

　　我们使用以下脚本在 DirectAccess 服务器上捕获事件(请参见图 1)：

　　set MPATH=c:\temp\Logs

　　%MPATH%\LogParser.exe "SELECT * INTO %MPATH%\DA_Security_Events_%COMPUTERNAME%.csv FROM Security WHERE EventCategory=12549 OR EventCategory=12547 OR EventCategory=12550" -o:CSV

　　注意：此脚本使用了本地的 LogParser.exe(及其关联文件 LogParser.dll)。这样做是为了使用方便，我们可以轻松地在服务器之间复制脚本。

　　图 1 借助任务计划程序自动运行的脚本从 DirectAccess 服务器捕获的事件详细信息。

     在 HRA 服务器上收集数据

　　我们使用以下脚本在 HRA 服务器上捕获事件：

　　复制代码

　　set MPATH=c:\temp\Logs

　　%MPATH%\LogParser.exe "SELECT * INTO %MPATH%\HRA_Security_Events_%COMPUTERNAME%.csv FROM Security WHERE EventCategory=12552" -o:CSV

　　%MPATH%\LogParser.exe "SELECT * INTO %MPATH%\HRA_System_Events_%COMPUTERNAME%.csv FROM System WHERE SourceName='HRA'" -o:CSV

　　注意：在 HRA 脚本中，事件类别 12552 对应了网络策略服务器服务。

　　导入数据

　　脚本运行之后，我们将输出的 CSV 文件收集到一台运行 SQL Server 2008 的独立计算机上。我们使用以下脚本将 CSV 数据导入 SQL：

　　复制代码

　　LogParser.exe "SELECT * INTO DaSasTable FROM DA_*.csv" -i:CSV -o:SQL -server:dev1 -database:NapDa -createTable:ON -maxStrFieldLen:1023

　　LogParser.exe "SELECT * INTO HraSecurityEventsTable FROM HRA_Security_*.csv" -i:CSV -o:SQL -server:dev1 -database:NapDa -createTable:ON -maxStrFieldLen:1023

　　LogParser.exe "SELECT * INTO HraSystemEventsTable FROM HRA_System_*.csv" -i:CSV -o:SQL -server:dev1 -database:NapDa -createTable:ON -maxStrFieldLen:1023

　　注意：

　　SQL 主机的名称是 dev1。数据库的名称是 NapDa，在 SQL Management Studio 中使用默认值创建。

　　DaSasTable、HraSecurityEventsTable 和 HraSystemEventsTable 三个表尚不存在。Log Parser 命令行选项 -createTable:ON 指定 Log Parser 根据输入数据(在本例中是事件日志 CSV 文件)使用合适的架构自动创建这些表。

　　-maxStrFieldLen:1023 设置在本例中非常重要。没有这项设置，Log Parser 将为各种事件日志的字符串字段使用默认的 varchar 字段长度 255。但是，事件日志 CSV 格式中有些数据字符串的长度要更长一些(特别是在 Strings 字段中，请参见图 2)，因此保证这些字段不被截断非常重要。作为实验，默认长度 1023 看起来够用了。

　　图 2 显示了 Log Parser CSV 事件日志导入所产生的架构。

▲　　图 2 Log Parser CSV 事件日志导入的架构。