キーボード修理

-
イメージ
前回 調子が悪くなったと書きましたが、部品が手配できて時間が取れたので直しました。 茶軸のスイッチを購入 Cherryの茶軸は 10個で1,399- ということで購入。 本当は1個で充分なんだけど、仕方なく残りは予備部品として保管。 作業手順 キーボードの裏側ネジを3箇所外します。 左右と中央の丸シールの下。 左右はパッドを貼っているので、少しめくって外します。 (あとで綺麗に戻るので心配なしです) ケーブルが出ている方は、スッと外れ、手前(下側)は、内部に爪が有るので、ピックやカード、マイナスドライバなどで少し隙間を開けるようにして広げれば外れます。 自分は親指の爪で空きました。 今回は「E」が調子悪いので、該当のピン2箇所をハンダ吸いで綺麗に取り除いて、裏側から引き抜いて完了。 基板にしっかりとどのキーかがプリントされているので分かりやすいですねぇ 入手した新品の茶軸を差し込んでハンダ付けします。 この時点で動作確認が可能になるので、直したキーとその周辺が正しく入力できるのをチェック。 問題なく、無事に動作しました。 最後にカバーを取り付けて完了! 残ったのは9個の茶軸…。 今回の費用 Cherryの茶軸10個セット :1,399- キーキャップ引き抜き工具 : 475-  ちなみに10個セットには、簡易引き抜きがついてきますが、ちゃんとしたもののほうが楽に作業できます。(昔買ったのに、どこかに行ってしまったので再購入)  ということで、1900円ほどで完治しました。  手間賃考えると買ったほうが安いかも(笑)
コメントを投稿

ログの整理 #3

-

PowerShellでは遅すぎて…

実際問題、ログからcsvに切り出すことは可能になったものの、10MBのログから200kb前後のcsvファイルを生成するのに前回のスクリプトだと約2時間かかるんですねぇ。
そりゃ、1レコードを生成するのに、ログオンIDで再度全部ログを舐めて、PCの名前とIPを拾っているわけで…。
単純に考えればO(n^2)というわけですね。
ログのローテーションというか上限を5MB(半分)にすれば、多分処理速度は1/4程度にまで下がるとは思われるけれど、120分が30分になって、ファイル数が倍なので実質1時間かかるわけで…。orz。

何が遅い?

実際、何に時間がかかっているのかを調べ始めたのだけれど、まずwhere-Objectが結構な時間を消費している。その後foreachで回す処理は激遅い。
結局、イベントログからオブジェクトとして扱っているのが、遅さの原因ぽい。

最適化しようにも、PowerShell自体の扱いに慣れていないので、とっても疲れるです。

他に良い方法は無いものだろうか?と思案し始めた時に、以前オライリーの本で見た記憶があったので、ちょいっと検索してみる。

方針変更!

perlのモジュールにW32::EventLogが有るじゃないですか。
早速、マニュアルを参考にテスト用のコードを書いてみる。
さすがに、サーバ上での作業は心配なので、VM上のWindows7にActivePerlを入れてテストすることに。

細かい仕様を決めようか、汎用的に作ろうかと迷いつつも、現状の作業をサックリ行えることを目的に作成した。約1日かけて、コーディング終了。前回までのスクリプトと同じ結果を返すようにするところで、少々苦労したわ。

なので、若干コードは汚い(perlなのでさらに汚いww)とは思うのだけれど、これが素晴らしい性能を発揮してくれた。

コードは以下全体を載せておくので、もし万が一使いたい人は、自己責任にてお願いします。

さて、実際に同じデータを食わせてみると、なっなんと、2時間かかっていた処理を1分以内に終えてくれる!!!

あぁ、これで今後のログの整理が快適になる。
1週間分、いや1ヶ月分まとめて処理だって怖くない!
あとは、コマンドラインでイベントログを引数として渡せば良い仕様にしたので、バッチでも動かせるし…。

もう少し、バグ取りなんかも必要かもしれないし、エラー時の処理なんかは、全くしていないレベルなので、暇な時にでもやろうとは思っている。

この手間は、大きな差を産んでくれる! 120倍速の処理完了〜。


use Win32::EventLog;
$Win32::EventLog::GetMessageText = 1;
$DEBUG=0;
sub make_time {
  my ($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = @_;
  return sprintf("%04d/%02d/%02d %02d:%02d:%02d",$year+1900,$mon+1,$mday,$hour,$min,$sec);
}
sub event_hash4624{
my($strings)=@_;
my @event=('SubjectUserSid','SubjectUserName'    ,'SubjectDomainName'      ,'SubjectLogonId',
  'TargetUserSid' ,'TargetUserName'     ,'TargetDomainName'         , 'TargetLogonId',
  'LogonType'     ,'LogonProcessName'   ,'AuthenticationPackageName','WorkstationName',
  'LogonGuid'     ,'TransmittedServices','LmPackageName'            ,'KeyLength',
  'ProcessId'     ,'ProcessName'        ,'IpAddress'                ,'IpPort');
my @list = split(/[\0]/, $strings);
my %h;
for(my $idx=0;$idx<$#event;$idx++){
$h{$event[$idx]}=$list[$idx];
}
return %h;
}
sub event_hash4663{
my($strings)=@_;
my @event=('SubjectUserSid','SubjectUserName','SubjectDomainName' ,'SubjectLogonId',
  'ObjectServer'  ,'ObjectType'     ,'ObjectName'        ,'HandleId',
  'AccessList'    ,'AccessMask'     ,'ProcessId'         ,'ProcessName');
my @list = split(/[\0]/, $strings);
my %h;
for(my $idx=0;$idx<$#event;$idx++){
$h{$event[$idx]}=$list[$idx];
}
return %h;
}
sub convert_acl{
my ($access_list)=@_;
my %acl = ('%%1537'=>"Delete"                 ,'%%1538'=>"Read_CONTROL"  ,'%%1539'=>"Write_DAC",
  '%%1540'=>"Write_OWNER"            ,'%%1541'=>"Synchronize"   ,'%%4416'=>"ReadData (or List Directory)",
  '%%4417'=>"WriteData (or Add File)",'%%4418'=>"AppendData (or AddSubdirectory or CreatePipeInstance)",
  '%%4419'=>"ReadEA"                 ,'%%4420'=>"WriteEA"       ,'%%4421'=>"ExecuteFile",
  '%%4422'=>"DeleteChild"            ,'%%4423'=>"ReadAttributes",'%%4424'=>"WriteAttributes");
$access_list =~ s/^\s*(.*?)\s*$/$1/;
if($acl{$access_list}){
return $acl{$access_list};
}else{
return "Other";
}
}
sub make_db_id {
my ($eventlogname,$event_id) = @_;
  my $handle = Win32::EventLog->new($eventlogname) or die "can't open event log.\n";
  $handle->GetNumber($recs) or die "Can't get number of EventLog records\n";
  $handle->GetOldest($base) or die "Can't get number of oldest EventLog record\n";

  my $x=0;
  while ($x < $recs) {
    $handle->Read(EVENTLOG_FORWARDS_READ|EVENTLOG_SEEK_READ,
                  $base+$x,
                  $hashRef) or die "Can't read EventLog entry #$x\n";
    if($hashRef->{EventID} eq $event_id){
%eventdata = event_hash4624($hashRef->{Strings});
$workpc    = $eventdata{'WorkstationName'}?$eventdata{'WorkstationName'}:"";
$logonname = $eventdata{'TargetUserName'}?$eventdata{'TargetUserName'}:"";
    $logonid   = $eventdata{'TargetLogonId'};
$logonip   = $eventdata{'IpAddress'}?$eventdata{'IpAddress'}:"";
      if(!($logonname =~ /\$/)){
        $db_id{$logonid}=$workpc . "," . $logonip;
}
    }
    $x++;
  }
return %db_id;
}
my $archivelogname = $ARGV[0];
my %id_list = make_db_id($archivelogname,"4624");
my $csvfilename;
$csvfilename = $archivelogname;
$csvfilename =~ s/\.evtx$/\.csv/;
$csvfilename =~ s/^.+\\//;
open(FH,">$csvfilename") or die("Can't open csv file\n");
print FH "日時,ユーザ名,ドメイン名,ログオンID,コンピュータ名,IPアドレス,ファイル名,操作,アプリケーション";
    my $event_id="4663";
  my $handle = Win32::EventLog->new($archivelogname) or die "can't open event log.\n";
  $handle->GetNumber($recs) or die "Can't get number of EventLog records\n";
  $handle->GetOldest($base) or die "Can't get number of oldest EventLog record\n";

  my $x=0;
  while ($x < $recs) {
    $handle->Read(EVENTLOG_FORWARDS_READ|EVENTLOG_SEEK_READ,
                  $base+$x,
                  $hashRef) or die "Can't read EventLog entry #$x\n";
    if($hashRef->{EventID} eq $event_id){
%eventdata = event_hash4663($hashRef->{Strings});
            $csv = make_time(localtime($hashRef->{'TimeGenerated'})) . ",";
            $csv .= $eventdata{'SubjectUserName'} . ",";
            $csv .= $eventdata{'SubjectDomainName'} . ",";
            $csv .= $eventdata{'SubjectLogonId'} . ",";
if($id_list{$eventdata{'SubjectLogonId'}}){
$csv .= $id_list{$eventdata{'SubjectLogonId'}} . ",";
}else{
$csv .= ",,";
}
            $csv .= $eventdata{'ObjectName'} . ",";
            $csv .= &convert_acl($eventdata{'AccessList'}) . ",";
            $csv .= $eventdata{'ProcessName'};
            print FH $csv."\n";
    }
    $x++;
  }
close(FH);

コメント

コメントを投稿

励みになりますので、簡単で良いので一言くださいませ。

このブログの人気の投稿

WPS Officeで日本語入力ができない

-
イメージ
メインのマシンUbuntu16.04にて 前回、Windowsマシンが逝ってしまったので、新たに用意したマシンはUbuntu16.04にした。 Windows7はVirtualboxで動かすことにし、そこそこ環境も整ってきた。 とは言っても、ほぼ作業はUbuntu上で行うので、こちらの状態も整えていたところ、問題が発生。 Office関連は、Linuxではやや厳しいので、少しでも使い勝手を上げるためにLibreOffice以外に、KingsoftのWPSを導入した。 こいつは、ノートのUbuntu14.04で動かしていてそこそこ互換性も高く、実績も有る。 今のところVABマクロがうまく動作しないのと、ピボットテーブルが保存後Excelで開くとおかしいくらいで、注意すれば十分利用できる。 ということで、Ubnutu16.04にも導入。そして日本語化。 しばらくViewerとしてしか使っていなかったので気づかなかったのだが、日本語の入力ができないことが判明。  むむむ。なぜだぁ  というのもあるし、今まで数字しか入力していなかったことに驚く。  そういえば、漢字などの表はコピーペーストしかしていなかった…。 原因を究明する とはいえ、入力できないのは不便なので、対策を施すことにする。 まずは、現状の調査。 日本語関係は、少し前のUbuntuはibus経由だったのに、今はfcitxに変わっている。 もちろん、クリーンインストールのままなので、設定は変えていない。 日本語の設定は、fcitxを使うようになっているし、geditなどは正しく動作している。 システムトレイアイコンを表示するようにして確認してみる。 標準のアプリはほぼOK。 ブラウザ(chrome,vivaldi,Firefox)も日本語の入力が可能。 ちゃんと、「あ」に切り替わる。 ところが、WPS関連はWriterも、SpreadsheetもPresentationも一切日本語の入力ができない。 「全角/半角」も、CTRL+SPACEも効かない。 これは、環境変数か?と思いチェックしてみる。 $ echo $GTK_IM_MODULE fcitx $ echo...
続きを読む

VirtualBoxでUSBから起動

-
イメージ
仮想マシンでUSBを使う これは、すでにVirtualboxを使っていれば、知っている内容だとは思う。 Extension Packを入れればUSB2.0/3.0が使える。 Support for USB 2.0 and USB 3.0 devices, VirtualBox RDP, disk encryption, NVMe and PXE boot for Intel cards. See this chapter from the User Manual for an introduction to this Extension Pack. The Extension Pack binaries are released under the VirtualBox Personal Use and Evaluation License (PUEL). Please install the same version extension pack as your installed version of VirtualBox.  まあ、入れない理由はないので、ほとんどの場合入れているはず。 では、USBの起動はどうか? というと、案外面倒くさい。  ググればいくらでも出てくる。  https://www.google.com/search?q=virtualbox%20USB%20起動 ところが、ここで記載されている内容は、USBにLIVE CDを作成し、USBから起動し利用するか、USBを仮想ディスクとして起動する方法ばかり。 これはこれでもちろん役にたつ内容だが…。USBにOSを入れて運用したいわけではない。 今回は、Windows10のリカバリーUSBを使って起動し、Windows10をクリーンインストールもしくは回復したい。 この場合、どうすれば良いのかで結構悩んだので、まとめておく。 リカバリーUSBから起動する すでにHDDにOSが入っていたり、新規にUSBからインストールしたい場合にVirtualboxのメニューは不親切だ。  先のググった方法は、USBがHDDとして認識させる形で起動する。 そうではなく、物理マシンでUSBブートするのと同様の方法が取りたい。HDDは接続しており、...
続きを読む

Ubuntu24.04 でGUIが死んだ

-
 アプリの動作テストを行っていて… AppImageが、22.04では動いていたものの24.04にアップデートしたら、動作しなくなった。 そこで、エラーメッセージを参考に作業を実施。 libfuse2がないというので、以下のインストール。 $ sudo apt install libfuse2 ところが、libfuse2はなく、libfuse2t64 を変わりに突っ込まれた。 でも、動作しない。 仕方ないので、fuseをまるっと入れることに。 ところが、AppImageは動作せず、GUIの動作がおかしい感じ。 homeフォルダを開くとDiskAnalizer(baobab)が起動してしまう。 仕方なく、再起動を実施。 すると、ユーザ選択が表示される前に、Xが落ちた…。 tty2に切り替えて、CUIからログイン。 ネットワークは正常。 コマンドも動作する。 ディスクは問題なさそう。 問題は、gdmが起動しないことだけのようだ。 手動でstartxを叩くが、エラーを吐いて落ちる…。 仕方なく、Desktop環境を再インストール。 $ sudo apt update $ sudo apt install --reinstall ubuntu-desktop gdm3 gnome-shell これで、再起動。 ユーザ選択画面が表示され、無事にログイン可能になった。 ふ〜。 再インストールしないとだめかと思ったが、無事に切り抜けた。 良かった…。
続きを読む