A Windows Server 2008 (Vista) rendszerben megjelent egy új funkció, amely lehetővé teszi az ütemező feladatának a rendszernaplókban szereplő eseményekhez történő kötését. Ennek a szolgáltatásnak köszönhetően az adminisztrátor ütemezhet egy adott szkriptet vagy e-mail értesítést küldhet bármely Windows eseményre. Ezzel a lehetőséggel részletesebben foglalkozunk..
A feladatok futtatásának képessége bizonyos Windows események bekövetkezésekor a szűk integráción alapszik Feladat ütemező és Esemény néző. Az ütemező feladatot bármilyen Windows eseményhez hozzárendelheti közvetlenül az Event Viewer naplókonzolján. Az eseményre reagálva az ütemező futtathat szkriptet vagy e-mail értesítést küldhet a rendszergazdának (vagy bármely más felhasználónak).
Tegyük fel, hogy a mi feladatunk az, hogy értesítse a biztonsági rendszergazdát a felhasználói fiók blokkolásáról az Active Directory-ban.
tanács. Ezt az eseményt az érthetőség kedvéért választottuk. Valójában ennek a funkciónak az alkalmazási köre meglehetősen széles. Ez lehet például egy bizonyos Windows szolgáltatás leállításáról, egy bizonyos program elindításáról az Exchange biztonsági másolat készítéséhez, értesítés az Active Directory biztonsági csoportjainak megváltozásáról vagy bizonyos mappák vagy fájlok megváltozásáról stb..Az AD-fiókok zárolásának eseményét a biztonsági naplóban a tartományvezérlő veszi észre. Esemény-azonosító eseményzár - 4740. Nyissa meg a Windows eseménynapló-konzolt (Esemény néző - eventvwr.msc) és keresse meg az érdeklődő eseményt. Kattintson a jobb gombbal és válassza a lehetőséget csatolása feladat Ahhoz, hogy ezt esemény (Feladat csatolása ehhez az eseményhez).
Az Ütemező feladat létrehozása varázsló elindul. A varázsló kéri, hogy adja meg a munka nevét. Ezt automatikusan generálja. - Security_Microsoft Windows-Security-Auditing_4740 és elégedettek vagyunk.
A következő lépés megmutatja az eseménynapló típusát, a forrást és az esemény eseményazonosítóját (az összes mező automatikusan kitöltésre kerül, és ezen a lépésben nem állnak rendelkezésre szerkesztésre).
Javasoljuk továbbá, hogy válassza ki az eseményre adott reakció típusát. A következő lehetőségek lehetséges:
- Program indítása - program indítása (szkript)
- E-mail küldése - e-mail értesítés küldése
- Üzenet megjelenítése - üzenet megjelenítése a konzolon
Érdekelnek az e-mail értesítések. Megadjuk a feladó, a címzett, az SMTP szerver címét, a tárgyat és az üzenet szövegét.
A varázsló utolsó lépésében láthatja a kiváltó triggerbeállításokat. Ennek eredményeként egy új feladat jelenik meg a feladatütemezőben, eseményhez kötve. Nyissuk meg a konzolt Feladat ütemező (az adminisztratív eszközökben). A létrehozott feladat megtalálható a szakaszban Feladatütemező könyvtár -> Eseménynapló-feladatok.
Itt megváltoztathatja az eseményindító beállításait és kényszerítheti futtatására, tesztelve az eseményre adott reakciót.
A trigger aktív. Most, amikor bármely AD-fiókot blokkolunk - egy értesítési e-mailt küldünk a megadott e-mailre.
megjegyzés. A Windows Server 2003 és a Windows korábbi verzióinak hasonló funkcióit a konzol segédprogrammal valósítottuk meg - eventtriggers.exe. Ez a segédprogram lehetővé tette az események nyomon követését a rendszernaplókban és az események eseményindítóinak aktiválását. Példánkban, amikor a vbs vagy a powershell szkript végrehajtását a 4740-es eseményhez kell kötni, amely e-mailt küld az adminisztrátor postafiókjába, a következő parancs lehet:
eventtriggers / create / TR „Fiók lezárása” / TK „C: \ WINDOWS \ system32 \ windowspowershell \ v1.0 \ powershell.exe c: \ script \ SendEmail.ps1" / L Biztonság / EID 4740
Az ilyen értesítés nem túl informatív, és az eseményről szóló részletes információk megtekintéséhez nyissa meg az Eseménynapló naplót. Próbáljuk csatolni az eseménynapló adatait a levélhez. A Wevtutil segédprogram segít nekünk, amely lehetővé teszi az eseményekre vonatkozó információk letöltését a Windows naplóiból. Tehát ahhoz, hogy a biztonsági naplóból adatot kapjon az utolsó eseményről, amelynek a 4740 kódja van, a következőket kell tennie:
wevtutil qe Biztonság / q: "* [Rendszer [(EventID = 4740)]]" / f: szöveg / rd: true / c: 1
Készítsünk egy szkriptet (query.cmd) két sorból: az első törli a régi naplófájlt, a második az utolsó eseményt tölti le a naplóból, és elmenti a naplófájlba:
del c: \ script \ query.txt
wevtutil qe Biztonság / q: "* [Rendszer [(EventID = 4740)]]]" / f: szöveg / rd: true / c: 1> c: \ script \ query.txt
A feladatütemező naplójában továbbra is meg kell nyitnia a korábban létrehozott eseményindító beállításait. A Műveletek lapon adjon hozzá egy új műveletet - a query.cmd parancsfájl futtatásához. Ezután meg kell változtatnia a műveletek sorrendjét, fel kell mozgatnia a listát felfelé a jobb oldali nyilak segítségével (a szkriptet előbb végre kell hajtani).
Ezután szerkesztjük a második műveletet - e-mail küldését, és a c: \ script \ query.txt fájl kiválasztását az e-mail mellékletként .
Tesztelje újra a feladatot. Most az adminisztrátor e-mailje értesítést kap egy melléklettel, amely tartalmazza a blokkolt fiók nevét, a blokkolás idejét és egyéb hasznos információkat..
Az ütemező feladatoknak a rendszernaplók eseményeihez kötése a Windows összes verziójában működik, kezdve a Windows Server 2008 / Vista-val. Ez a funkció lehetővé teszi, hogy gyorsan értesítse a rendszergazdát bizonyos problémák felmerüléséről a szervereknél, és válaszoljon rájuk.
