Monitoring és eseményjelentést magazinokban ablakok kiváltó események, ablakok rendszere
Tegyük fel, hogy a célunk - hozzon létre, hogy értesíti a rendszergazdát a felhasználói fiók le van zárva az Active Directory.
Tanács. Azért választottuk ezt az eseményt az egyértelműség kedvéért. Tény, hogy ebben a tartományban a kérelem alkalmassága meglehetősen széles. Lehet például, éber, hogy ne egy adott Windows-szolgáltatás, fuss egy különleges programot az Exchange mentés befejezése. bejelentése változás Active Directory biztonsági csoportok vagy módosítani kell bizonyos mappák vagy fájlok, stb
blokkoló esemény az AD fiók be van jelölve egy tartományvezérlő a Biztonsági napló (Security). Event ID Lock rendezvények - 4740. Nyitott konzol ablakot eseménynaplóinak (Event Viewer - eventvwr.msc), és keresünk mi érdekli az esemény. RMB kattintson rá, és válassza ki az elemet AttachTaskToThisEvent (csatolása feladata az esemény).
Fut egy varázsló, hogy hozzon létre egy új feladat ütemező. Varázsló kéri, hogy adja meg a feladat nevét. Ez generálódik - Security_Microsoft Windows-Security-Auditing_4740 és elégedettek vagyunk. A következő lépésben adja meg, milyen események Esemény azonosítója forrás és események (minden mező kitöltése automatikusan, és nem állnak szerkesztésre ezt a lépést). Kérte továbbá, hogy kiválassza a típusú válasz egy esemény. Az alábbi lehetőségek állnak rendelkezésre: Az utolsó lépésben a varázsló, akkor láthatjuk a kapott ravaszt beállításokat. Ennek eredményeként az új feladat jelenik meg a Task Scheduler, kötődik a rendezvény. Nyílt Task Scheduler konzol (Administrative Tools). Alkotó feladat, lásd Task Scheduler Library -> Event Viewer feladatok. Azt is megváltoztathatja a beállításokat a kiváltó esemény és arra kényszerül, hogy futtatni, a vizsgálat a reakció egy eseményre.Tanács. Ha szeretne egy ravaszt, hogy kötődnek a különböző Eseményazonosító, azokat vesszővel elválasztva.
A trigger aktív. Most, amikor a hirdetések blokkolásával véve - az e-mailt küldünk egy levelet értesítést.
eventtriggers / create / TR "Lock Account" / TK "C: \ WINDOWS \ system32 \ windowspowershell \ v1.0 \ powershell.exe c: \ script \ SendEmail.ps1" / L Security / EID 4740
wevtutil qe Biztonság / q: "* [System [(Eseményazonosító = 4740)]]" / f: text / rd: true / c: 1
Hozzon létre egy szkript (query.cmd) két sor: az első törli a régi fájlt a napló, a második - eltávolítja a magazin utolsó esemény, és eltárolja egy log file:
del c: \ script \ query.txt
wevtutil QE Biztonság / q: "* [System [(Eseményazonosító = 4740)]]" / f: text / rd: true / c: 1> c: \ script \ query.txt
Van még idő, hogy nyissa meg a beállításokat a korábban létrehozott ravaszt a Task Scheduler naplót. A Műveletek lapon egy új akció - indul query.cmd script. Akkor meg kell változtatni a sorrendjét cselekmények, akkor feljebb a listán a nyilak a jobb oldalon (a forgatókönyvet kell végezni az első).
Ezután szerkessze a második felvonás - e-mail küldése kiválasztásával mellékleteként a levelet a fájlt c: \ script \ query.txt.Megjegyzés. Példánkban a feladat, hogy működjön, meg kell futtatni emelt szintű engedélyekkel. Ehhez saját beállításait kell telepíteni egy csóka Runwithhighestprivileges.
Teszteljük újra a munkát. Most egy rendszergazda e-mail értesítést fog átvenni a beruházás, ami azt jelzi, az adatokat nevében egy zárolt számlán, ideje blokkoló és egyéb hasznos információkat.
Tanács. Funkcionális ablak esemény váltja ki, hogy figyelmeztessék a rendszergazda a kritikus kérdések a szerverek nem egy teljes helyettesíti a monitoring rendszer, mint például a System Center Operations Manager és Zenoss. Azonban, mint egy egyszerű beépített ellenőrzési és jelentési kisvállalkozások számára, amelyek nem igényelnek beruházások a bevezetés és a személyzet képzése, párosulva azzal a képességgel, hogy megszilárdítsa naplók több szerver (továbbított események), ez elég használható.