检查系统日志是网络管理员的一项日常工作。通常情况下,大家都是打开事件查看器来发现其中可疑的事件。但使用事件查看器有个缺点,就是不能实时跟踪发生的可疑事件。有没有什么好方法让某个事件发生后自动通知管理员呢?
在Windows Server 2003中就提供了这样一个好工具――Eventtriggers(事件触发器),它可以监视系统事件并做出预定的反应,这样我们就可以即时跟踪感兴趣的事件并做出反应。
该命令可以在本地或远程计算机上显示和配置事件触发器,它包括三个子命令:
Eventtriggers create,用于创建事件触发器;
Eventtriggers delete,用于删除已创建的事件触发器;
Eventtriggers query,用于查询和显示系统的事件触发器属性和设置。
我们主要应用其中的Eventtriggers create子命令。下面就以域用户登录Windows Server 2003域失败时自动给管理员报警来说明这个命令的具体使用。可以按照下面的步骤来完成上面的设想。
进入“域控制器安全策略”管理界面,启用审核策略中“审核登录事件”的失败审核。
创建一条事件触发器,命令如下:
Eventtriggers /create /tr alert1 /l security /eid 529 /tk f:zhzalert1.bat
当输入此命令后会提示你输入管理员的密码,以执行事件触发器。其中f:zhzalert1.bat是一个批处理文件,里面包含一条命令,即向管理员报警:
net send cc6 “有账户登录失败,请继续关注,以防黑客!”
这样就创建了一个名为alert1的事件触发器,只要在事件查看器的安全日志中有ID为529的失败审核出现,那么它就会向管理员所在的机器发送一条报警信息(如图),管理员收到消息后就可以去事件日志中查找此事件更详细的描述,在529事件中,记录了登录的用户名及登录者的IP等信息,你可以从中发现哪些是正常的失败登录(比如域用户登录时密码输入错误),更重要的是发现那些可疑的登录尝试,比如对管理员账户的登录尝试。
注意:事件触发器并不会随关机或重新启动而消失,它会一直存在,除非你用Eventtriggers delete命令删除。
上面举了一个简单的例子,你还可以把Eventtriggers命令扩展到其他局域网的管理应用上,让更多的管理工作实现自动化,另外,除了Windows Server 2003外,Windows XP系统也支持这个命令。