事件触发器 网络监控更智能
一、事件触发器映像
事件查看器早已耳熟能详,那这个事件触发器又是怎么回事呢?从Windows XP开始,Windows就引入了事件触发器这一概念,只不过在Windows中很少会有人用到此功具,倒是在服务器上用好了,常常可以事半功倍。事件触发器程序允许对本地或远程计算机创建触发器事件,当特定的事件发生时,自动给网络管理员发送信息等。
在命令提示符状态下执行"eventtriggers /?"命令,可以查看事件触发器所支持的三种用法,这三种用法分别是创建、删除、显示触发器事件(如图1)。
图 1
二、触发器命令参数了解
从图1中可以看出,事件触发器主要包含三条命令,而我们所有需要进行的操作都是通过这三条命令进行的,而三条命令中也以"Eventtriggers /create"最为重要,也是要使用得最多的一条命令。并且"Eventtriggers /create"的后续参数还是相当多的,通过"Eventtriggers /create /?"可以查看详细的参数及参数的具体作用说明(如图2)。
图 2
删除和查询命令同样可以通过添加"/?"参数的方法来了解详细的参数说明。
三、事件触发器应用
这里主要应用一下"Eventtriggers /create"命令,这里要实现的目标是,当域用户登录windows server 2003域失败时自动给管理员发送一条报警信息,具体实现过程如下。
第一步:开启策略审核。在windows server 2003服务器中,执行"开始"→"管理工具"→"域控制器安全策略"打开域控制器安全策略设置窗口,依次定位到"安全设置"→"本地策略"→"审核策略",双击右侧的"审核登录事件",在打开的对话框中,勾选"失败"项应用登录失败审核策略,最后单击"确定"按钮使策略生效(如图3)。
图 3
第二步:创建触发器事件。首先创建一个批处理文件,假设名为AlertHack.bat,内容为"net send 10.150.221.201 "帐户登录失败,请检查系统日志""。然后创建一条事件触发器,命令如下:
Eventtriggers /create /tr alert /l security /eid 529 /tk f:AlertHack.bat
这时一条名为"alert"的触发器便创建好了(如图4),当有用户登录失败时,系统便会自动发送一条消息"帐户登录失败,请检查系统日志"的信息至IP地址为10.150.221.201的机器。
图 4
当在事件查看器的安全日志中有ID为529的失败审核出现,那么它就会向管理员所在的机器发送一条报警信息,管理员收到消息后就可以去事件查看器中查看日志,查找此事件更详细的描述,在529事件中,将会记录登录的用户名及登录者的IP等信息,从这些信息中往往就可以发现哪些是正常的失败登录,更重要的是发现那些可疑的登录尝试,比如对管理员账户的登录尝试等,从而可以将被动检查日志变成主动监控,让系统更加安全。
四、小结
在事件触发器中,较为关键的一点便是EID,EID就是事件查看器中系统日志的"事件"列所对应的标号,如果想获得某一未曾发生过的事件EID,则执行一次相应的操作(如想知道IIS服务被停止的EID,可以手工将IIS停止一下来获得该事件的ID号),从而获得事件的正确ID号信息。
另外事件触发器一旦创建便不会自动消息,即便是注销、关机、重新启动都不能使之消失,想清除某一事件触发器,必须使用"Eventtriggers /delete"进行删除。
上面只是给出了一个简单的小例子,在实际的使用过程中,我们可以根据自己的需要配置出更详细的"事件触发器"。虽然Eventtriggers在配置过程中,并没有提供窗口界面,也没有一些专门的解发器程序好用,但是因为其为系统自带,不仅可以节省成本,并且也不用担心和系统之间的兼容性问题,如果只是日常的应用,并没有非常大规模的事件触发操作需要配置,使用系统自带的事件触发器还是一个不错的选择。