V operacijskem sistemu Windows Server 2008 (Vista) se je pojavila nova funkcionalnost, ki vam omogoča, da opravilo planerja vežete na kateri koli dogodek v sistemskih dnevnikih. Zahvaljujoč tej funkciji lahko skrbnik načrtuje določeno skriptu ali pošlje opozorilo po e-pošti na kateri koli dogodek sistema Windows. To možnost bomo obravnavali podrobneje..
Možnost izvajanja nalog, ko se zgodijo določeni dogodki v operacijskem sistemu Windows, temelji na tesni integraciji Načrtovalnik opravil in Pregledovalnik dogodkov. Nalogo načrtovalca lahko vsakemu dogodku v operacijskem sistemu Windows dodelite neposredno iz konzole dnevnika pregledovalnika dogodkov. V odgovor na dogodek lahko načrtovalec zažene skript ali pošlje e-poštno obvestilo administratorju (ali kateremu koli drugemu uporabniku).
Recimo, da je naša naloga konfigurirati, da skrbnika varnosti obvesti o blokiranju uporabniškega računa v Active Directoryu.
Namig. Za jasnost smo izbrali ta dogodek. Pravzaprav je obseg uporabe te funkcionalnosti precej širok. To so lahko na primer opozorila o zaustavitvi določene storitve Windows, zagon določenega programa za dokončanje varnostne kopije programa Exchange, obvestilo o spremembi varnostnih skupin Active Directory ali spremembe nekaterih map ali datotek itd..Dogodek zaklepanja računa v AD-ju je zaznan na krmilniku domene v varnostnem dnevniku. Zaključek dogodka v ID-ju dogodka - 4740. Odprite konzolo dnevnika dogodkov v sistemu Windows (Pregledovalnik dogodkov - eventvwr.msc) in poiščite dogodek, ki nas zanima. Z desno miškino tipko kliknite in izberite Pripni Naloga Do Tole Dogodek (Na ta dogodek priložite nalogo).
Zažene se čarovnik za ustvarjanje Job Schedulerja. Čarovnik vas bo pozval, da določite ime opravila. Ustvari se samodejno. - Varnost_Microsoft-Windows-Varnost-revizija_4740 in smo zadovoljni.
Naslednji korak prikazuje vrsto dnevnika dogodkov, vir in ID dogodka (vsa polja se samodejno izpolnijo in v tem koraku niso na voljo za urejanje).
Nadalje je predlagano izbiro vrste reakcije na dogodek. Možne so naslednje možnosti:
- Zaženite program - zaženite program (skript)
- Pošljite e-pošto - pošljite obvestilo po pošti
- Prikaz sporočila - prikažite sporočilo v konzoli
Zanimajo nas opozorila po e-pošti. Določimo pošiljatelja, prejemnika, naslov SMTP strežnika, zadevo in besedilo sporočila.
Na zadnjem koraku čarovnika si lahko ogledate nastale nastavitve sprožilca. Posledično se bo v urniku opravil pojavila nova naloga, povezana z našim dogodkom. Odprimo konzolo Načrtovalnik opravil (v upravnih orodjih). Ustvarjeno nalogo najdete v razdelku Knjižnica urnikov opravil -> Naloge pregledovalnika dogodkov.
Tu lahko spremenite nastavitve sprožilca dogodka in ga prisilite v zagon ter preizkusite reakcijo na dogodek.
Namig. Če morate na niz EventID-jev priložiti en sprožilec, jih morate določiti ločeno z vejicami.Sprožilec je aktiven. Zdaj, ko blokirate kateri koli račun AD - bo na navedeno e-pošto poslano obvestilo.
Opomba. Podobna funkcionalnost v sistemu Windows Server 2003 in starejših različicah sistema Windows je bila izvedena s pomočjo pripomočka za konzolo - eventtriggers.exe. Ta pripomoček vam je omogočil tudi sledenje dogodkom v sistemskih dnevnikih in sprožitev sprožilcev za določene dogodke. V našem primeru, ko morate zavezati izvedbo skripta vbs ali powershell na dogodek 4740, ki pošlje e-poštno sporočilo v nabiralnik skrbnika, je lahko ukaz tak:
eventtriggers / create / TR "Zakleni račun" / TK "C: \ WINDOWS \ system32 \ windowspowershell \ v1.0 \ powershell.exe c: \ script \ SendEmail.ps1" / L Varnost / EID 4740
Takšno obvestilo ni zelo informativno in za ogled podrobnih informacij o dogodku morate odpreti dnevnik pregledovalnika dogodkov. Poskusimo priložiti podatke iz dnevnika dogodkov k pismu. Pri tem nam bo pomagal pripomoček Wevtutil, ki vam omogoča, da iz dnevnikov sistema Windows naložite informacije o katerem koli dogodku. Če želite pridobiti podatke o zadnjem dogodku s kodo 4740 iz varnostnega dnevnika, morate storiti:
wevtutil qe Varnost / q: "* [Sistem [(EventID = 4740)]]" / f: besedilo / rd: res / c: 1
Ustvarimo skript (query.cmd) iz dveh vrstic: prva izbriše staro datoteko dnevnika, druga odloži zadnji dogodek iz dnevnika in ga shrani v datoteko dnevnika:
del c: \ script \ query.txt
wevtutil qe Varnost / q: "* [Sistem [(EventID = 4740)]]" / f: besedilo / rd: true / c: 1> c: \ script \ query.txt
Ostaja še enkrat odpreti nastavitve prej ustvarjenega sprožilca v dnevniku planerjev opravil. Na kartici Dejanja dodajte novo dejanje - zaženite skript query.cmd. Nato morate spremeniti vrstni red dejanj, ga premakniti po seznamu s puščicami na desni (skript je treba najprej izvesti).
Nato uredimo drugo dejanje - pošiljanje e-pošte, izbiro datoteke c: \ script \ query.txt kot priloge k e-pošti .
Opomba. V našem primeru, da naloga pravilno deluje, jo morate izvesti s povišenimi privilegiji. Če želite to narediti, morate v njegovih nastavitvah namestiti šiška Teči s najvišji privilegiji.Nalogo ponovno preizkusite. Zdaj bo skrbnikovo sporočilo prejelo obvestilo s priponko, ki vsebuje podatke o imenu blokiranega računa, času blokiranja in drugih koristnih informacijah.
Namig. Uporaba funkcije sprožilca dogodka Window za obveščanje skrbnika o kritičnih težavah s strežnikom ni popolna zamenjava za sistem nadzora, kot sta System Center Operations Manager in Zenoss. Vendar pa je kot preprosto vgrajeno orodje za spremljanje in obveščanje za mala podjetja, ki ne zahtevajo vlaganj v izvajanje in usposabljanje osebja, skupaj s sposobnostjo konsolidacije dnevnikov z več strežnikov hkrati (Posredovani dogodki), precej uporaben.Povezovanje nalog planerja na dogodke v sistemskih dnevnikih deluje v vseh različicah sistema Windows, začenši z Windows Server 2008 / Vista. Ta funkcija vam omogoča, da skrbnika hitro obvestite o pojavu določenih težav s strežnikov in se nanje odzove.