Computer >> คอมพิวเตอร์ >  >> ระบบ >> Windows Server

ทริกเกอร์เหตุการณ์ของ Windows

ใน Windows Server 2008 (Vista) คุณลักษณะใหม่ที่อนุญาตให้แนบงาน Windows Scheduler สำหรับเหตุการณ์ใด ๆ ในบันทึกของระบบ เมื่อใช้คุณสมบัตินี้ ผู้ดูแลระบบสามารถกำหนดสคริปต์เฉพาะหรือส่งการแจ้งเตือนทางอีเมลไปยังเหตุการณ์ใดๆ ของ Windows ลองพิจารณาคุณลักษณะนี้โดยละเอียด

การเรียกใช้งานเมื่อเกิดเหตุการณ์บางอย่างของ Windows ขึ้นอยู่กับการรวมอย่างใกล้ชิดของ Task Scheduler และ โปรแกรมดูเหตุการณ์ . คุณสามารถมอบหมายงานตัวจัดกำหนดการให้กับเหตุการณ์ของ Windows ได้โดยตรงในคอนโซลตัวแสดงเหตุการณ์ ในการตอบสนองต่อเหตุการณ์ Task Scheduler สามารถเรียกใช้สคริปต์หรือส่งการแจ้งเตือนทางอีเมลไปยังผู้ดูแลระบบ (หรือผู้ใช้รายอื่น)

สมมติว่า งานของเราคือแจ้งผู้ดูแลระบบความปลอดภัยเกี่ยวกับการล็อกบัญชีผู้ใช้ Active Directory

เคล็ดลับ . เราได้เลือกกิจกรรมนี้เพื่อจุดประสงค์ในการอธิบาย อันที่จริง ขอบเขตของการใช้คุณลักษณะนี้ค่อนข้างกว้าง สิ่งเหล่านี้อาจเป็นการแจ้งเตือนของบริการ Windows ที่หยุดทำงาน การเรียกใช้แอปหลังจากการสำรองข้อมูล Exchange สิ้นสุดลง การแจ้งเตือนการเปลี่ยนแปลงในกลุ่มความปลอดภัยของ Active Directory หรือการเปลี่ยนแปลงในไดเรกทอรีหรือไฟล์บางรายการ เป็นต้น

มีการลงทะเบียนเหตุการณ์ของการล็อกบัญชีผู้ใช้ AD ในบันทึกการรักษาความปลอดภัยบนตัวควบคุมโดเมน รหัสเหตุการณ์ของการล็อกคือ 4740 . เปิด Windows Event Viewer (ตัวแสดงเหตุการณ์ — eventvwr.msc ) และมองหาเหตุการณ์นี้ คลิกขวาและเลือก แนบงานกับกิจกรรมนี้ .

ทริกเกอร์เหตุการณ์ของ Windows

เปิดตัวช่วยสร้างงานพื้นฐาน ตัวช่วยสร้างพร้อมท์ให้ระบุชื่องาน สร้างขึ้นโดยอัตโนมัติ — Security_Microsoft-Windows-Security-Auditing_4740 และมันก็ดีสำหรับเรา

ทริกเกอร์เหตุการณ์ของ Windows

ในขั้นตอนต่อไป ประเภทของบันทึกเหตุการณ์ แหล่งที่มาและ ID เหตุการณ์จะถูกระบุ (ฟิลด์ทั้งหมดจะถูกกรอกโดยอัตโนมัติและไม่สามารถแก้ไขได้ในขั้นตอนนี้)

ทริกเกอร์เหตุการณ์ของ Windows

จากนั้น คุณจะได้รับแจ้งให้เลือกประเภทการตอบสนองต่อเหตุการณ์ มีคำตอบดังต่อไปนี้:

  • เริ่มโปรแกรม
  • ส่งอีเมล
  • แสดงข้อความ

ทริกเกอร์เหตุการณ์ของ Windows

เราเลือกการแจ้งเตือนทางอีเมล ระบุผู้ส่ง ผู้รับ ที่อยู่เซิร์ฟเวอร์ SMTP หัวเรื่อง และข้อความในอีเมล

ทริกเกอร์เหตุการณ์ของ Windows

ในขั้นตอนสุดท้ายของวิซาร์ด คุณสามารถดูการตั้งค่าทริกเกอร์ได้ เป็นผลให้งานใหม่ที่เชื่อมต่อกับเหตุการณ์ 4740 ปรากฏใน Task Scheduler เปิด ตัวกำหนดเวลางาน คอนโซลในเครื่องมือการดูแลระบบ งานใหม่สามารถพบได้ใน Task Scheduler Library -> Event Viewer Tasks .

ทริกเกอร์เหตุการณ์ของ Windows

คุณยังสามารถเปลี่ยนการตั้งค่าทริกเกอร์เหตุการณ์และบังคับให้ทดสอบการตอบสนองต่อเหตุการณ์ได้ที่นี่ ทริกเกอร์เหตุการณ์ของ Windows

เคล็ดลับ . หากท่านต้องแนบ ทริกเกอร์หนึ่งรายการไปยัง EventID หลายรายการ คุณต้องระบุให้คั่นด้วยเครื่องหมายจุลภาค

ทริกเกอร์เริ่มทำงาน เมื่อบัญชี AD ใด ๆ ถูกล็อค จดหมายแจ้งเตือนจะถูกส่งไปยังที่อยู่อีเมลที่ระบุ

ทริกเกอร์เหตุการณ์ของ Windows

หมายเหตุ . คุณลักษณะเดียวกันใน Windows Server 2003 และ Windows เวอร์ชันก่อนหน้าถูกใช้งานโดยยูทิลิตี้คอนโซล eventtriggers.exe . ยูทิลิตีนี้ยังอนุญาตให้ตรวจสอบเหตุการณ์ในบันทึกของระบบและกำหนดทริกเกอร์ให้กับเหตุการณ์บางอย่าง ในตัวอย่างของเรา เมื่อคุณต้องกำหนดสคริปต์ vbs หรือ powershell ให้กับเหตุการณ์ 4740 เพื่อส่งอีเมลไปยังกล่องจดหมายของผู้ดูแลระบบ คำสั่งจะมีลักษณะดังนี้:

eventtriggers /create /TR “Lock Account” /TK “C:\WINDOWS\system32\windowspowershell\v1.0\powershell.exe c:\script\SendEmailAlert.ps1″ /L Security /EID 4740

การแจ้งเตือนนี้ไม่ค่อยให้ข้อมูล และหากต้องการดูรายละเอียดกิจกรรม คุณต้องเปิด Event Viewer เรามาลองแนบข้อมูลจากบันทึกเหตุการณ์กับอีเมลกัน ยูทิลิตี้ wevtutil สามารถใช้เพื่อรับข้อมูลเกี่ยวกับเหตุการณ์ใด ๆ จากบันทึกของ Windows ดังนั้น ในการรับข้อมูลเกี่ยวกับเหตุการณ์ 4740 ล่าสุดจากบันทึกความปลอดภัย คุณต้องเรียกใช้สิ่งต่อไปนี้:

wevtutil qe Security /q:"*[System[(EventID=4740)]]" /f:text /rd:true /c:1

สร้างสคริปต์ (query.cmd) ที่ประกอบด้วยสองบรรทัด:รายการแรกลบไฟล์บันทึกสุดท้าย และรายการที่สองรับเหตุการณ์สุดท้ายจากบันทึกและบันทึกลงในไฟล์บันทึก:

del c:\script\query.txt
wevtutil qe Security /q:"*[System[(EventID=4740)]]" /f:text /rd:true /c:1 > c:\script\query.txt

ตอนนี้คุณต้องเปิดการตั้งค่าของทริกเกอร์ที่สร้างขึ้นก่อนหน้าใน Task Scheduler เท่านั้น ในแท็บ Actions เพิ่มการกระทำใหม่ — เริ่มสคริปต์ query.cmd จากนั้นคุณต้องเปลี่ยนลำดับของการกระทำ ย้ายไปที่ด้านบนสุดของรายการโดยใช้ปุ่มลูกศรทางด้านขวา (ควรรันสคริปต์ก่อน)

ทริกเกอร์เหตุการณ์ของ Windows

จากนั้นแก้ไขการดำเนินการที่สอง — ส่งอีเมล — โดยเลือก c:\script\query.txt เป็นสิ่งที่แนบมากับจดหมาย

หมายเหตุ . ในตัวอย่างของเรา เพื่อให้งานทำงานได้อย่างถูกต้อง คุณต้องเรียกใช้งานโดยยกระดับ ให้ตรวจสอบการตั้งค่า เรียกใช้ด้วยสิทธิ์สูงสุด

ทริกเกอร์เหตุการณ์ของ Windows

มาทดสอบภารกิจกันอีกครั้ง ตอนนี้ผู้ดูแลระบบจะได้รับการแจ้งเตือนพร้อมไฟล์แนบทางอีเมล ซึ่งมีข้อมูลเกี่ยวกับชื่อบัญชี เวลาปิด และข้อมูลที่เป็นประโยชน์อื่นๆ

ทริกเกอร์เหตุการณ์ของ Windows

เคล็ดลับ . การใช้ทริกเกอร์เหตุการณ์ของ Windows เพื่อแจ้งเตือนผู้ดูแลระบบเกี่ยวกับปัญหาร้ายแรงบนเซิร์ฟเวอร์ไม่ใช่การแทนที่ระบบการตรวจสอบอย่างเต็มรูปแบบ เช่น System Center Operations Manager หรือ Zenoss อย่างไรก็ตาม เป็นเครื่องมือตรวจสอบและแจ้งเตือนในตัวที่เรียบง่ายสำหรับธุรกิจขนาดเล็กโดยไม่จำเป็นต้องลงทุนในการดำเนินการหรือฝึกอบรมพนักงาน

การเชื่อมโยงงานตัวจัดกำหนดการกับเหตุการณ์ในบันทึกของระบบใช้ได้กับ Windows ทุกรุ่นตั้งแต่ Windows Server 2008 / Vista คุณลักษณะนี้ช่วยให้สามารถแจ้งเตือนผู้ดูแลระบบเกี่ยวกับปัญหาเซิร์ฟเวอร์บางอย่างและแก้ไขได้อย่างรวดเร็ว

หมายเหตุ . ใน Windows Server 2012 R2 Task Scheduler ไม่รองรับการส่งอีเมล (เลิกใช้แล้ว)
เพื่อจุดประสงค์นี้ ควรใช้ PowerShell 3.0 – Send-MailMessage .