Di Windows Server 2008 (Vista), fungsionalitas baru telah muncul yang memungkinkan Anda untuk mengikat tugas penjadwal ke peristiwa apa pun di log sistem. Berkat fitur ini, administrator dapat menjadwalkan skrip tertentu atau mengirim peringatan email ke acara Windows apa pun. Kami akan menangani kemungkinan ini secara lebih rinci..
Kemampuan untuk menjalankan tugas ketika peristiwa Windows tertentu terjadi didasarkan pada integrasi yang ketat Penjadwal tugas dan Penampil acara. Anda dapat menetapkan tugas penjadwal ke acara Windows apa pun secara langsung dari konsol log Peraga Peristiwa. Menanggapi acara tersebut, penjadwal dapat menjalankan skrip atau mengirim pemberitahuan email ke administrator (atau pengguna lain).
Katakanlah tugas kita adalah mengonfigurasi untuk memberi tahu administrator keamanan tentang pemblokiran akun pengguna di Active Directory.
Kiat. Kami memilih acara ini untuk kejelasan. Padahal, jangkauan aplikasi fungsi ini cukup luas. Ini bisa berupa, misalnya, peringatan tentang penghentian layanan Windows tertentu, peluncuran program khusus untuk menyelesaikan cadangan Exchange, pemberitahuan tentang perubahan dalam grup keamanan Direktori Aktif atau perubahan pada folder atau file tertentu, dll..Peristiwa penguncian akun dalam AD dicatat pada pengontrol domain di log Keamanan. ID peristiwa kunci acara - 4740. Buka konsol log peristiwa Windows (Peraga Peristiwa - eventvwr.msc) dan cari acara yang menarik minat kami. Klik kanan padanya dan pilih Lampirkan Tugas Untuk Ini Acara (Lampirkan tugas ke acara ini).
Wisaya Pekerjaan Penjadwal Buat dimulai. Wizard meminta Anda untuk menentukan nama pekerjaan. Itu dihasilkan secara otomatis. - Security_Microsoft-Windows-Security-Auditing_4740 dan kami puas.
Langkah selanjutnya menunjukkan jenis log peristiwa, sumber, dan ID Peristiwa dari acara tersebut (semua bidang diisi secara otomatis dan tidak tersedia untuk diedit pada langkah ini).
Lebih lanjut diusulkan untuk memilih jenis reaksi terhadap peristiwa tersebut. Opsi berikut dimungkinkan:
- Mulai program - mulai program (skrip)
- Kirim e-mail - kirim pemberitahuan surat
- Menampilkan pesan - menampilkan pesan di konsol
Kami tertarik dengan peringatan email. Kami menentukan pengirim, penerima, alamat server SMTP, subjek dan teks pesan.
Pada langkah terakhir panduan, Anda dapat melihat pengaturan pemicu yang dihasilkan. Akibatnya, tugas baru akan muncul di penjadwal tugas, terkait dengan acara kami. Ayo buka konsolnya Penjadwal tugas (dalam Alat Administrasi). Tugas yang dibuat dapat ditemukan di bagian Perpustakaan Penjadwal Tugas -> Tugas Penampil Acara.
Di sini Anda dapat mengubah pengaturan pemicu acara dan memaksanya untuk menjalankan, menguji reaksi terhadap peristiwa tersebut.
Pemicunya aktif. Sekarang, ketika memblokir akun AD apa pun - email pemberitahuan akan dikirim ke email yang ditentukan.
Catatan. Fungsionalitas serupa di Windows Server 2003 dan versi Windows sebelumnya diimplementasikan menggunakan utilitas konsol - eventtriggers.exe. Utilitas ini juga memungkinkan Anda untuk melacak peristiwa dalam log sistem dan memicu pemicu untuk peristiwa tertentu. Sebagai contoh kami, ketika Anda harus mengikat eksekusi skrip vbs atau PowerShell ke event 4740, yang mengirim email ke kotak surat administrator, perintahnya mungkin seperti ini:
eventtriggers / create / TR "Lock Account" / TK "C: \ WINDOWS \ system32 \ windowspowershell \ v1.0 \ powershell.exe c: \ script \ SendEmail.ps1" / L Security / EID 4740
Pemberitahuan semacam itu tidak terlalu informatif, dan untuk melihat informasi terperinci tentang acara Anda harus membuka log Peraga Peristiwa. Mari kita coba lampirkan data dari log peristiwa ke surat itu. Utilitas Wevtutil akan membantu kami dalam hal ini, yang memungkinkan Anda membongkar informasi tentang peristiwa apa pun dari log Windows. Jadi, untuk mendapatkan data tentang peristiwa terakhir dengan kode 4740 dari log Keamanan, Anda harus melakukan:
wevtutil qe Security / q: "* [System [(EventID = 4740)]]" / f: teks / rd: true / c: 1
Mari kita membuat skrip (query.cmd) dari dua baris: yang pertama menghapus file log lama, yang kedua membongkar acara terakhir dari log dan menyimpannya ke file log:
del c: \ script \ query.txt
wevtutil qe Security / q: "* [System [(EventID = 4740)]]" / f: teks / rd: true / c: 1> c: \ script \ query.txt
Tetap membuka pengaturan pemicu yang sebelumnya dibuat di log penjadwal tugas. Pada tab Tindakan, tambahkan tindakan baru - menjalankan skrip query.cmd. Kemudian Anda perlu mengubah urutan tindakan, memindahkannya ke atas daftar menggunakan panah di sebelah kanan (skrip harus dijalankan terlebih dahulu).
Selanjutnya, kami mengedit tindakan kedua - mengirim email, memilih file c: \ script \ query.txt sebagai lampiran ke email .
Uji tugas lagi. Sekarang surat administrator akan menerima pemberitahuan dengan lampiran, yang berisi informasi tentang nama akun yang diblokir, waktu pemblokiran dan informasi berguna lainnya.
Mengikat tugas penjadwal ke acara di log sistem berfungsi di semua versi Windows, dimulai dengan Windows Server 2008 / Vista. Fungsionalitas ini memungkinkan Anda untuk dengan cepat memberi tahu administrator tentang terjadinya masalah tertentu dari server dan menanggapinya.
