V systéme Windows Server 2008 (Vista) sa objavila nová funkcia, ktorá vám umožňuje priradiť úlohu plánovača k akejkoľvek udalosti v systémových denníkoch. Vďaka tejto funkcii môže správca naplánovať konkrétny skript alebo poslať e-mailové upozornenie na akúkoľvek udalosť systému Windows. Túto možnosť sa budeme venovať podrobnejšie..
Schopnosť spúšťať úlohy pri výskyte určitých udalostí systému Windows je založená na úzkej integrácii Plánovač úloh a Prehliadač udalostí. Každej udalosti systému Windows môžete priradiť úlohu plánovača priamo z konzoly protokolov aplikácie Event Viewer. V reakcii na udalosť môže plánovač spustiť skript alebo poslať e-mailom oznámenie správcovi (alebo inému používateľovi).
Povedzme, že našou úlohou je nakonfigurovať tak, aby informovalo správcu bezpečnosti o blokovaní používateľského účtu v službe Active Directory.
rada. Túto udalosť sme vybrali kvôli prehľadnosti. V skutočnosti je rozsah aplikácií tejto funkcie pomerne široký. Môže to byť napríklad upozornenie na vypnutie určitej služby Windows, spustenie konkrétneho programu na dokončenie zálohovania servera Exchange, upozornenie na zmenu v skupinách zabezpečenia služby Active Directory alebo zmeny v určitých zložkách alebo súboroch atď..Udalosť uzamknutia účtu v službe AD je zaznamenaná v radiči domény v protokole zabezpečenia. Zámok udalosti ID udalosti - 4740. Otvorte konzolu protokolu udalostí systému Windows (Prehliadač udalostí - eventvwr.msc) a vyhľadajte udalosť, ktorá nás zaujíma. Kliknite pravým tlačidlom myši a vyberte priložiť úloha na toto udalosť (Priložte úlohu k tejto udalosti).
Spustí sa Sprievodca vytvorením úlohy plánovača. Sprievodca vás vyzve na zadanie názvu úlohy. Generuje sa automaticky. - Security_Microsoft-Windows zabezpečenia-Auditing_4740 a sme spokojní.
Ďalší krok ukazuje typ protokolu udalostí, zdroj a ID udalosti (všetky polia sa vyplnia automaticky a v tomto kroku nie je možné ich upravovať).
Ďalej sa navrhuje vybrať typ reakcie na udalosť. Možné sú tieto možnosti:
- Spustenie programu - spustenie programu (skript)
- Poslať e-mail - pošlite e-mailové upozornenie
- Zobraziť správu - zobrazenie správy na konzole
Máme záujem o e-mailové upozornenia. Zadávame odosielateľa, príjemcu, adresu SMTP servera, predmet a text správy.
V poslednom kroku sprievodcu uvidíte výsledné nastavenia spúšťača. Výsledkom je, že v plánovači úloh sa objaví nová úloha spojená s našou udalosťou. Poďme otvoriť konzolu Plánovač úloh (v administratívnych nástrojoch). Vytvorenú úlohu nájdete v sekcii Knižnica plánovača úloh -> Úlohy prehliadača udalostí.
Tu môžete zmeniť nastavenie spúšťača udalosti a prinútiť ho spustiť, testovať reakciu na udalosť.
Spúšťač je aktívny. Teraz, keď blokujete akýkoľvek účet AD - na zadaný e-mail sa pošle e-mail s upozornením.
poznámka. Podobné funkcie v systéme Windows Server 2003 a starších verziách systému Windows boli implementované pomocou obslužného programu konzoly - EVENTTRIGGERS.EXE. Tento nástroj vám tiež umožnil sledovať udalosti v systémových denníkoch a spúšťať spúšťače pre určité udalosti. Napríklad v našom prípade, keď potrebujete prepojiť vykonanie skriptu vbs alebo powerhell s udalosťou 4740, ktorá odošle e-mail do poštovej schránky správcu, príkaz môže byť nasledujúci:
eventtriggers / create / TR “Lock Account” / TK “C: \ WINDOWS \ system32 \ windowspowershell \ v1.0 \ powershell.exe c: \ script \ SendEmail.ps1" / L Security / EID 4740
Takéto oznámenie nie je príliš informatívne a na zobrazenie podrobných informácií o udalosti musíte otvoriť protokol prehliadača udalostí. Pokúsime sa pripojiť k listu údaje z denníka udalostí. Pomôže nám to nástroj Wevtutil, ktorý vám umožní vyložiť informácie o akejkoľvek udalosti z protokolov systému Windows. Ak chcete získať údaje o poslednej udalosti pomocou kódu 4740 z denníka zabezpečenia, musíte urobiť:
wevtutil qe Zabezpečenie / q: "* [Systém [(EventID = 4740)]]" / f: text / rd: true / c: 1
Vytvorme skript (query.cmd) z dvoch riadkov: prvý odstráni starý súbor denníka, druhý uvoľní poslednú udalosť z denníka a uloží ju do súboru denníka:
del c: \ script \ query.txt
wevtutil qe Zabezpečenie / q: "* [Systém [(EventID = 4740)]]" / f: text / rd: true / c: 1> c: \ script \ query.txt
Zostane znovu otvoriť nastavenia predtým vytvoreného spúšťača v protokole plánovača úloh. Na karte Akcie pridajte novú akciu - spustite skript query.cmd. Potom musíte zmeniť poradie akcií, pomocou šípok vpravo ho presunúť hore v zozname (skript by sa mal vykonať ako prvý).
Ďalej upravíme druhú akciu - odoslanie e-mailu, ako prílohu k e-mailu vyberieme súbor c: \ script \ query.txt. .
Skúste úlohu znova. Pošta administrátora teraz dostane upozornenie s prílohou, ktorá obsahuje informácie o názve blokovaného účtu, čase blokovania a ďalšie užitočné informácie.
Viazanie úloh plánovača na udalosti v systémových denníkoch funguje vo všetkých verziách systému Windows, počnúc systémom Windows Server 2008 / Vista. Táto funkcia vám umožňuje rýchlo informovať správcu o výskyte určitých problémov zo serverov a reagovať na ne.
