44.7 Présentation des rapports créés dans un fichier journal

Une entrée de fichier journal générée par un événement est illustrée ci-dessous. Les différents champs de cette entrée sont les suivants.

"Launch Failure","11","7/25/2002 9:27:52 AM",
"JSMITH.NOVELL.NOVELL_TREE",".WORKSTATION NOT REGISTERED","137.65.45.25","NOTEPAD.APPS.NOVELL.NOVELL_TREE","3054A94E-BBFF-4851-9D8E-58973623B728","2","Could not launch NOTEPAD.APPS.NOVELL.NOVELL_TREE (using c:\winnt\notepa) (id=123)","The filename, directory name, or volume label syntax is incorrect.","c:\winnt\notepa","","","","","524288"

Tableau 44-3 Champs et descriptions du fichier journal

Champ

Exemple

Description

Type d'événement

Échec du lancement

Événement survenu en précisant sa réussite ou son échec. Les différents types d'événements possibles sont les suivants :

Lancement réussi Échec du lancement Distribution réussie Échec de la distribution Filtrage (icône affichée) Filtrage (icône cachée) Désinstallation réussie Échec de la désinstallation Caching réussi Échec du caching Interruption de l'application Processus ignoré Processus interrompu

Code de type d'événement

11

Code associé à l'événement. Les codes possibles sont les suivants :

10 - Lancement réussi 11 - Échec du lancement 20 - Distribution réussie 21 - Échec de la distribution 30 - Filtrage (icône cachée) 40 - Filtrage (icône affichée) 50 - Désinstallation réussie 51 - Échec de la désinstallation 60 - Caching réussi 61 - Échec du caching 70 - Interruption de l'application 80 - Processus ignoré 81 - Processus interrompu

Date et heure

7/25/2002 9:27:52 AM

Date (25/07/2002) et heure (09:27:52) de l'événement.

Nom distinctif et arborescence de l'utilisateur

JSMITH.NOVELL.NOVELL_TREE

Nom distinctif et arborescence de l'utilisateur concerné par l'événement.

Nom distinctif et arborescence du poste de travail

.WORKSTATION NOT REGISTERED

Nom distinctif et arborescence du poste de travail concerné par l'événement. Si le poste de travail n'a pas été importé dans eDirectory sous forme d'objet Poste de travail, le champ indique POSTE DE TRAVAIL NON ENREGISTRÉ.

Adresse du poste de travail

137.65.45.25

Adresse IPX ou IP du poste de travail sur lequel l'événement s'est produit.

Nom distinctif et arborescence de l'application

NOTEPAD.APPS.NOVELL.NOVELL_TREE

Nom distinctif et arborescence de l'objet Application concerné par l'événement.

Dans le cas des processus malveillants, ce champ contient Gestion d'applications ZEN.

GUID de l'application

3054A94E-BBFF-4851-9D8E-58973623B728

Identificateur global unique assigné à l'objet Application. Le GUID se trouve sur la page Options de l'objet Application (page Options de distribution).

Dans le cas des processus malveillants, ce champ est conservé vide.

Numéro de version de l'application

2

Numéro de version assigné à l'objet Application. Les valeurs possibles sont comprises entre 0 et 65535. Le numéro de version est situé sur la page Options de l'objet Application (onglet Options de distribution).

Dans le cas des processus malveillants, ce champ est conservé vide.

Code d'erreur principale

NOTEPAD.APPS.NOVELL.NOVELL_TREE n'a pas pu être lancé (à l'aide de c:\winnt\notepa) (id=123)

Pour les événements d'échec, il s'agit du code d'erreur généré par le programme de lancement d'applicatifs.

Pour les événements de réussite, ce champ a systématiquement la valeur 0.

Dans le cas des processus malveillants, ce champ est conservé vide.

Code d'erreur secondaire

Le nom de fichier, le nom de répertoire ou la syntaxe de l'étiquette de volume est incorrect.

Informations supplémentaires sur le code d'erreur.

Pour les événements de réussite, ce champ a systématiquement la valeur 0.

Dans le cas des processus malveillants, ce champ est conservé vide.

Chaîne d'événement 1

c:\winnt\notepa

Informations facultatives sur les événements

Dans le cas d'un processus malveillant, ce champ contient le nom de fichier d'origine du processus.

Chaîne d'événement 2

pas d'exemple

Informations facultatives sur les événements

Dans le cas d'un processus malveillant, ce champ contient le nom de fichier d'origine du processus.

Chaîne d'événement 3

pas d'exemple

Informations facultatives sur les événements

Dans le cas des processus malveillants, ce champ contient l'ID de processus (PID).

Chaîne d'événement 4

pas d'exemple

Informations facultatives sur les événements

Dans le cas des processus malveillants, ce champ contient l'ID de processus parent (PID parent).

Chaîne d'événement 5

pas d'exemple

Informations facultatives sur les événements

Dans le cas de processus malveillants, ce champ contient l'opération exécutée pour l'événement c'est-à-dire "processus ignoré" ou "processus terminé avec succès".

Indicateur d'application

524288

Masque de bits de l'objet Application

Dans le cas des processus malveillants, ce champ contient toujours la valeur 0.