Monitorovanie a varovanie udalostí v protokoloch udalostí udalostí systému Windows

V systéme Windows Server 2008 (Vista) sa objavila nová funkcia, ktorá vám umožňuje priradiť úlohu plánovača k akejkoľvek udalosti v systémových denníkoch. Vďaka tejto funkcii môže správca naplánovať konkrétny skript alebo poslať e-mailové upozornenie na akúkoľvek udalosť systému Windows. Túto možnosť sa budeme venovať podrobnejšie..

Schopnosť spúšťať úlohy pri výskyte určitých udalostí systému Windows je založená na úzkej integrácii Plánovač úloh a Prehliadač udalostí. Každej udalosti systému Windows môžete priradiť úlohu plánovača priamo z konzoly protokolov aplikácie Event Viewer. V reakcii na udalosť môže plánovač spustiť skript alebo poslať e-mailom oznámenie správcovi (alebo inému používateľovi).

Povedzme, že našou úlohou je nakonfigurovať tak, aby informovalo správcu bezpečnosti o blokovaní používateľského účtu v službe Active Directory.

rada. Túto udalosť sme vybrali kvôli prehľadnosti. V skutočnosti je rozsah aplikácií tejto funkcie pomerne široký. Môže to byť napríklad upozornenie na vypnutie určitej služby Windows, spustenie konkrétneho programu na dokončenie zálohovania servera Exchange, upozornenie na zmenu v skupinách zabezpečenia služby Active Directory alebo zmeny v určitých zložkách alebo súboroch atď..

Udalosť uzamknutia účtu v službe AD je zaznamenaná v radiči domény v protokole zabezpečenia. Zámok udalosti ID udalosti - 4740. Otvorte konzolu protokolu udalostí systému Windows (Prehliadač udalostí - eventvwr.msc) a vyhľadajte udalosť, ktorá nás zaujíma. Kliknite pravým tlačidlom myši a vyberte priložiť úloha na toto udalosť (Priložte úlohu k tejto udalosti).

Spustí sa Sprievodca vytvorením úlohy plánovača. Sprievodca vás vyzve na zadanie názvu úlohy. Generuje sa automaticky. - Security_Microsoft-Windows zabezpečenia-Auditing_4740 a sme spokojní.

Ďalší krok ukazuje typ protokolu udalostí, zdroj a ID udalosti (všetky polia sa vyplnia automaticky a v tomto kroku nie je možné ich upravovať).

Ďalej sa navrhuje vybrať typ reakcie na udalosť. Možné sú tieto možnosti:

  • Spustenie programu - spustenie programu (skript)
  • Poslať e-mail - pošlite e-mailové upozornenie
  • Zobraziť správu - zobrazenie správy na konzole

Máme záujem o e-mailové upozornenia. Zadávame odosielateľa, príjemcu, adresu SMTP servera, predmet a text správy.

V poslednom kroku sprievodcu uvidíte výsledné nastavenia spúšťača. Výsledkom je, že v plánovači úloh sa objaví nová úloha spojená s našou udalosťou. Poďme otvoriť konzolu Plánovač úloh (v administratívnych nástrojoch). Vytvorenú úlohu nájdete v sekcii Knižnica plánovača úloh -> Úlohy prehliadača udalostí.

Tu môžete zmeniť nastavenie spúšťača udalosti a prinútiť ho spustiť, testovať reakciu na udalosť.

rada. Ak potrebujete pripojiť jeden spúšťač k množine identifikátorov udalostí, musíte ich zadať oddelené čiarkami.

Spúšťač je aktívny. Teraz, keď blokujete akýkoľvek účet AD - na zadaný e-mail sa pošle e-mail s upozornením.

poznámka. Podobné funkcie v systéme Windows Server 2003 a starších verziách systému Windows boli implementované pomocou obslužného programu konzoly - EVENTTRIGGERS.EXE. Tento nástroj vám tiež umožnil sledovať udalosti v systémových denníkoch a spúšťať spúšťače pre určité udalosti. Napríklad v našom prípade, keď potrebujete prepojiť vykonanie skriptu vbs alebo powerhell s udalosťou 4740, ktorá odošle e-mail do poštovej schránky správcu, príkaz môže byť nasledujúci:

eventtriggers / create / TR “Lock Account” / TK “C: \ WINDOWS \ system32 \ windowspowershell \ v1.0 \ powershell.exe c: \ script \ SendEmail.ps1" / L Security / EID 4740

Takéto oznámenie nie je príliš informatívne a na zobrazenie podrobných informácií o udalosti musíte otvoriť protokol prehliadača udalostí. Pokúsime sa pripojiť k listu údaje z denníka udalostí. Pomôže nám to nástroj Wevtutil, ktorý vám umožní vyložiť informácie o akejkoľvek udalosti z protokolov systému Windows. Ak chcete získať údaje o poslednej udalosti pomocou kódu 4740 z denníka zabezpečenia, musíte urobiť:

wevtutil qe Zabezpečenie / q: "* [Systém [(EventID = 4740)]]" / f: text / rd: true / c: 1

Vytvorme skript (query.cmd) z dvoch riadkov: prvý odstráni starý súbor denníka, druhý uvoľní poslednú udalosť z denníka a uloží ju do súboru denníka:

del c: \ script \ query.txt
wevtutil qe Zabezpečenie / q: "* [Systém [(EventID = 4740)]]" / f: text / rd: true / c: 1> c: \ script \ query.txt

Zostane znovu otvoriť nastavenia predtým vytvoreného spúšťača v protokole plánovača úloh. Na karte Akcie pridajte novú akciu - spustite skript query.cmd. Potom musíte zmeniť poradie akcií, pomocou šípok vpravo ho presunúť hore v zozname (skript by sa mal vykonať ako prvý).

Ďalej upravíme druhú akciu - odoslanie e-mailu, ako prílohu k e-mailu vyberieme súbor c: \ script \ query.txt. .

poznámka. V našom príklade, aby úloha fungovala správne, musíte ju spustiť so zvýšenými oprávneniami. Ak to chcete urobiť, musíte v jeho nastaveniach nainštalovať čeľusť beh s najvyššiu oprávnenie.

Skúste úlohu znova. Pošta administrátora teraz dostane upozornenie s prílohou, ktorá obsahuje informácie o názve blokovaného účtu, čase blokovania a ďalšie užitočné informácie.

rada. Používanie udalosti okna spúšťa funkčnosť na upozornenie správcu na kritické problémy so serverom, nie je úplnou náhradou za monitorovací systém, napríklad System Center Operations Manager a Zenoss. Ako jednoduchý vstavaný monitorovací a oznamovací nástroj pre malé podniky, ktoré nevyžadujú investície do implementácie a školenia personálu, spolu so schopnosťou konsolidovať protokoly z viacerých serverov naraz (forwardové udalosti), je celkom použiteľný..

Viazanie úloh plánovača na udalosti v systémových denníkoch funguje vo všetkých verziách systému Windows, počnúc systémom Windows Server 2008 / Vista. Táto funkcia vám umožňuje rýchlo informovať správcu o výskyte určitých problémov zo serverov a reagovať na ne.