Udało mi się odnaleźć kilka ciekawych poleceń, których połączenie skutkuje powyższą funkcjonalnością.
A więc ...
- Na serwerze, którego analizę logów przeprowadzamy dodajemy wyzwalacz ciągle analizujący stan dziennika zabezpieczeń pod kątem np. blokady konta (event id 644). Jeżeli takie zdarzenie wystąpi, wyzwalacz uruchamia skrypt, który mu podamy do uruchomienia (w tym przypadku nazywa się on skrypt_wysylajacy_maila.bat) Polecenie eventtriggers znajduje się domyślnie w systemie Windows 2003 server. Poniższa komenda doda wyzwalacz:
eventtriggers /Create /TR "Blokada konta EID 644" /D "Wyszykuje blokadę konta i wysyła powiadomienie na e-mail" /L security /EID 644 /TK "c:\skrypty\skrypt_wysylajacy_maila.bat 644" - Tworzymy skrypt skrypt_wysylajacy_maila.bat w katalogu c:\skrypty (lub innym, ale trzeba będzie pamiętać o zmianie ścieżki w wyzwalaczu) któremu wyzwalacz z powyższego punktu przekaże numer zdarzenia (w tym przypadku 644). Do wysyłania maila wykorzystałem darmowy program blat, który trzeba sobie pobrać. Treść skryptu poniżej:
::::: Tworzę plik, który będzie stanowił treść maila:
echo Ponizej znajduje sie ostatnich 5 minut dziennika Zabezpieczen na serwerze przeszukanych pod katem zdarzenia %1. Te same zdarzenia, tylko z przedziałem czasowym 24h znajduja sie w zalaczniku. >> c:\Skrypty\zdarzenie_tmp_5m.txt
::::: Polecenie wyciągające z dziennika Security zdarzenia przekazane mu przez parametr %1 i z ostatnich 5m i zapisujące je do pliku
psloglist -s -m 5 -i %1 Security >> c:\Skrypty\zdarzenie_tmp_5m.txt
echo Skrypt, ktory odpowiada za wysylanie tego maila znajduje sie na serwerze w katalogu c:\skrypty\%0 >> c:\Skrypty\zdarzenie_tmp_5m.txt
::::: Plik, który będzie stanowił załącznik do maila ze zdarzeniami z poszukiwanymi zdarzeniami z ostatnich 24h psloglist -s -h 24 -i %1 Security > c:\Skrypty\zdarzenie_tmp_24h.txt
::::: Parametry do uruchomienia programu "blat" wysyłającego maila
@echo off
set body=c:\Skrypty\zdarzenie_tmp_5m.txt
set priorytet=-priority 0
set eMail_to=na_jaki_adres_chcemy_wysyłać_maila
set eMail_from=z_jakiego_adresu_ma_wychodzić_mail
set subject=-s "Event id nr %1 na serwerze"
set server=-server wpisujemy_serwer_smtp
set x=-x "X-Header-Test: Can Blat do it? Yes it Can!"
set zalacznik=-attacht "c:\Skrypty\zdarzenie_tmp_24h.txt"
::::: Polecenie wysyłające maila
"C:\Program Files\blat\full\Blat.exe" %body% %priorytet% -to %eMail_to% -f %eMail_from% %subject% %server% %x% %zalacznik%
del c:\Skrypty\zdarzenie_tmp_*.txt
Ponizej znajduje sie ostatnich 5 minut dziennika Zabezpieczen na serwerze przeszukanych pod katem zdarzenia 644. Te same zdarzenia, tylko z przedzialem czasowym 24h znajduja sie w zalaczniku.
Security log on \\serwer: jakieś_tam_zdarzenia
Skrypt, ktory odpowiada za wysylanie tego maila znajduje sie na serwerze w katalogu c:\skrypty\skrypt_wysylajacy_maila.bat
Thanks for sharing, nice post! Post really provice useful information!
OdpowiedzUsuńAn Thái Sơn với website anthaison.vn chuyên sản phẩm máy đưa võng hay máy đưa võng tự động tốt cho bé là địa chỉ bán máy đưa võng giá rẻ tại TP.HCM và giúp bạn tìm máy đưa võng loại nào tốt hiện nay.