В Windows Server 2008 (Vista) се появи нова функционалност, която ви позволява да обвържете задачата за планиране с всяко събитие в системните дневници. Благодарение на тази функция администраторът може да насрочи конкретен скрипт или да изпрати предупреждение по имейл до всяко събитие в Windows. Ще се справим с тази възможност по-подробно..
Възможността за изпълнение на задачи, когато се случват определени събития на Windows, се основава на плътна интеграция Планировчик на задачите и Зрител на събитията. Можете да зададете задача за планиране на всяко събитие на Windows директно от конзолата на журнала на Event Viewer. В отговор на събитието, планиращият може да стартира скрипт или да изпрати известие по имейл до администратора (или всеки друг потребител).
Да приемем, че нашата задача е да конфигурираме да уведомяваме администратора за сигурност за блокиране на потребителски акаунт в Active Directory.
съвет. Избрахме това събитие за по-голяма яснота. Всъщност обхватът на приложенията на тази функционалност е доста широк. Това може да бъде например сигнали за изключване на определена услуга на Windows, стартиране на конкретна програма за завършване на архивирането на Exchange, известие за промяна в групите за сигурност на Active Directory или промени в определени папки или файлове и т.н..Събитието за блокиране на акаунт в AD се отбелязва на контролера на домейна в дневника за сигурност. Заключване на събитие с идентификатор на събитие - 4740. Отворете конзолата на дневника на събитията на Windows (Event Viewer - eventvwr.msc) и потърсете събитието, което ни интересува. Кликнете с десния бутон върху него и изберете Прикрепете задача за това събитие (Прикачете задача към това събитие).
Стартира се съветникът за създаване на работа по планиране. Съветникът ви подканва да посочите името на заданието. Генерира се автоматично. - Security_Microsoft-Windows-Security-Auditing_4740 и ние сме доволни.
Следващата стъпка показва типа на дневника на събитията, източника и идентификационния номер на събитието (всички полета се попълват автоматично и не са достъпни за редактиране на тази стъпка).
Освен това се предлага да се избере типът реакция на събитието. Възможни са следните опции:
- Стартиране на програма - стартиране на програма (скрипт)
- Изпратете имейл - изпратете известие по пощата
- Показване на съобщение - показване на съобщение в конзолата
Интересуваме се от имейл сигнали. Ние определяме изпращача, получателя, SMTP адреса на сървъра, темата и текста на съобщението.
На последната стъпка на съветника можете да видите получените настройки на спусъка. В резултат на това в програмата за планиране на задачи ще се появи нова задача, свързана с нашето събитие. Нека отворим конзолата Планировчик на задачите (в административни инструменти). Създадената задача може да се намери в секцията Task Scheduler Library -> Задачи с преглед на събития.
Тук можете да промените настройките на тригера на събитието и да го принудите да стартира, тествайки реакцията към събитието.
Спусъкът е активен. Сега, когато блокирате всеки акаунт на AD - на посочения имейл ще бъде изпратен известие.
забележка. Подобна функционалност в Windows Server 2003 и по-старите версии на Windows беше реализирана с помощта на конзолната програма - eventtriggers.exe. Тази помощна програма ви позволява също да проследявате събития в системните регистрационни файлове и да задействате задействания за определени събития. За нашия пример, когато трябва да обвържете изпълнението на vbs или scripthell скрипт към събитие 4740, което изпраща имейл до пощенската кутия на администратора, командата може да е така:
eventtriggers / create / TR „Заключване на акаунт“ / TK „C: \ WINDOWS \ system32 \ windowspowershell \ v1.0 \ powershell.exe c: \ script \ SendEmail.ps1" / L Security / EID 4740
Подобно известие не е много информативно и за да видите подробна информация за събитието, трябва да отворите дневника на Event Viewer. Нека се опитаме да прикачим към писмото данни от дневника на събитията. Утилитата Wevtutil ще ни помогне в това, което ви позволява да разтоварите информация за всяко събитие от логове на Windows. Така че, за да получите данни за последното събитие с код 4740 от дневника за сигурност, трябва да направите:
wevtutil qe Security / q: "* [Система [(EventID = 4740)]]" / f: текст / rd: true / c: 1
Нека създадем скрипт (query.cmd) от два реда: първият изтрива стария лог файл, вторият разтоварва последното събитие от дневника и го записва в лог файла:
del c: \ script \ query.txt
wevtutil qe Security / q: "* [Система [(EventID = 4740)]]" / f: текст / rd: true / c: 1> c: \ script \ query.txt
Остава още веднъж да отворите настройките на създадения по-рано тригер в дневника на планиращите задачи. В раздела Действия добавете ново действие - изпълнете скрипта query.cmd. След това трябва да промените реда на действията, да го преместите нагоре по списъка, като използвате стрелките вдясно (скриптът трябва да се изпълни първо).
След това редактираме второто действие - изпращане на имейл, избиране на файла c: \ script \ query.txt като прикачен файл към имейла .
Тествайте отново задачата. Сега пощата на администратора ще получи известие с прикачен файл, което съдържа информация за името на блокирания акаунт, времето на блокиране и друга полезна информация.
Обвързването на задачите на планировчика със събития в системните дневници работи във всички версии на Windows, като се започне от Windows Server 2008 / Vista. Тази функционалност ви позволява бързо да уведомявате администратора за възникване на определени проблеми от сървърите и да отговаряте на тях.
