ทริกเกอร์เหตุการณ์ของ Windows

ใน Windows Server 2008 (Vista) คุณลักษณะใหม่ที่อนุญาตให้แนบงาน Windows Scheduler สำหรับเหตุการณ์ใด ๆ ในบันทึกของระบบ เมื่อใช้คุณสมบัตินี้ ผู้ดูแลระบบสามารถกำหนดสคริปต์เฉพาะหรือส่งการแจ้งเตือนทางอีเมลไปยังเหตุการณ์ใดๆ ของ Windows ลองพิจารณาคุณลักษณะนี้โดยละเอียด

การเรียกใช้งานเมื่อเกิดเหตุการณ์บางอย่างของ Windows ขึ้นอยู่กับการรวมอย่างใกล้ชิดของ Task Scheduler และ โปรแกรมดูเหตุการณ์ . คุณสามารถมอบหมายงานตัวจัดกำหนดการให้กับเหตุการณ์ของ Windows ได้โดยตรงในคอนโซลตัวแสดงเหตุการณ์ ในการตอบสนองต่อเหตุการณ์ Task Scheduler สามารถเรียกใช้สคริปต์หรือส่งการแจ้งเตือนทางอีเมลไปยังผู้ดูแลระบบ (หรือผู้ใช้รายอื่น)

สมมติว่า งานของเราคือแจ้งผู้ดูแลระบบความปลอดภัยเกี่ยวกับการล็อกบัญชีผู้ใช้ Active Directory

มีการลงทะเบียนเหตุการณ์ของการล็อกบัญชีผู้ใช้ AD ในบันทึกการรักษาความปลอดภัยบนตัวควบคุมโดเมน รหัสเหตุการณ์ของการล็อกคือ 4740 . เปิด Windows Event Viewer (ตัวแสดงเหตุการณ์ — eventvwr.msc ) และมองหาเหตุการณ์นี้ คลิกขวาและเลือก แนบงานกับกิจกรรมนี้ .

เปิดตัวช่วยสร้างงานพื้นฐาน ตัวช่วยสร้างพร้อมท์ให้ระบุชื่องาน สร้างขึ้นโดยอัตโนมัติ — Security_Microsoft-Windows-Security-Auditing_4740 และมันก็ดีสำหรับเรา

ในขั้นตอนต่อไป ประเภทของบันทึกเหตุการณ์ แหล่งที่มาและ ID เหตุการณ์จะถูกระบุ (ฟิลด์ทั้งหมดจะถูกกรอกโดยอัตโนมัติและไม่สามารถแก้ไขได้ในขั้นตอนนี้)

จากนั้น คุณจะได้รับแจ้งให้เลือกประเภทการตอบสนองต่อเหตุการณ์ มีคำตอบดังต่อไปนี้:

• เริ่มโปรแกรม
• ส่งอีเมล
• แสดงข้อความ

เราเลือกการแจ้งเตือนทางอีเมล ระบุผู้ส่ง ผู้รับ ที่อยู่เซิร์ฟเวอร์ SMTP หัวเรื่อง และข้อความในอีเมล

ในขั้นตอนสุดท้ายของวิซาร์ด คุณสามารถดูการตั้งค่าทริกเกอร์ได้ เป็นผลให้งานใหม่ที่เชื่อมต่อกับเหตุการณ์ 4740 ปรากฏใน Task Scheduler เปิด ตัวกำหนดเวลางาน คอนโซลในเครื่องมือการดูแลระบบ งานใหม่สามารถพบได้ใน Task Scheduler Library -> Event Viewer Tasks .

คุณยังสามารถเปลี่ยนการตั้งค่าทริกเกอร์เหตุการณ์และบังคับให้ทดสอบการตอบสนองต่อเหตุการณ์ได้ที่นี่

ทริกเกอร์เริ่มทำงาน เมื่อบัญชี AD ใด ๆ ถูกล็อค จดหมายแจ้งเตือนจะถูกส่งไปยังที่อยู่อีเมลที่ระบุ

eventtriggers /create /TR “Lock Account” /TK “C:\WINDOWS\system32\windowspowershell\v1.0\powershell.exe c:\script\SendEmailAlert.ps1″ /L Security /EID 4740

การแจ้งเตือนนี้ไม่ค่อยให้ข้อมูล และหากต้องการดูรายละเอียดกิจกรรม คุณต้องเปิด Event Viewer เรามาลองแนบข้อมูลจากบันทึกเหตุการณ์กับอีเมลกัน ยูทิลิตี้ wevtutil สามารถใช้เพื่อรับข้อมูลเกี่ยวกับเหตุการณ์ใด ๆ จากบันทึกของ Windows ดังนั้น ในการรับข้อมูลเกี่ยวกับเหตุการณ์ 4740 ล่าสุดจากบันทึกความปลอดภัย คุณต้องเรียกใช้สิ่งต่อไปนี้:

wevtutil qe Security /q:"*[System[(EventID=4740)]]" /f:text /rd:true /c:1

สร้างสคริปต์ (query.cmd) ที่ประกอบด้วยสองบรรทัด:รายการแรกลบไฟล์บันทึกสุดท้าย และรายการที่สองรับเหตุการณ์สุดท้ายจากบันทึกและบันทึกลงในไฟล์บันทึก:

del c:\script\query.txt
wevtutil qe Security /q:"*[System[(EventID=4740)]]" /f:text /rd:true /c:1 > c:\script\query.txt

ตอนนี้คุณต้องเปิดการตั้งค่าของทริกเกอร์ที่สร้างขึ้นก่อนหน้าใน Task Scheduler เท่านั้น ในแท็บ Actions เพิ่มการกระทำใหม่ — เริ่มสคริปต์ query.cmd จากนั้นคุณต้องเปลี่ยนลำดับของการกระทำ ย้ายไปที่ด้านบนสุดของรายการโดยใช้ปุ่มลูกศรทางด้านขวา (ควรรันสคริปต์ก่อน)

จากนั้นแก้ไขการดำเนินการที่สอง — ส่งอีเมล — โดยเลือก c:\script\query.txt เป็นสิ่งที่แนบมากับจดหมาย

มาทดสอบภารกิจกันอีกครั้ง ตอนนี้ผู้ดูแลระบบจะได้รับการแจ้งเตือนพร้อมไฟล์แนบทางอีเมล ซึ่งมีข้อมูลเกี่ยวกับชื่อบัญชี เวลาปิด และข้อมูลที่เป็นประโยชน์อื่นๆ

การเชื่อมโยงงานตัวจัดกำหนดการกับเหตุการณ์ในบันทึกของระบบใช้ได้กับ Windows ทุกรุ่นตั้งแต่ Windows Server 2008 / Vista คุณลักษณะนี้ช่วยให้สามารถแจ้งเตือนผู้ดูแลระบบเกี่ยวกับปัญหาเซิร์ฟเวอร์บางอย่างและแก้ไขได้อย่างรวดเร็ว