Blogs

Мониторинг журналов событий.

  • Comments 3
  • Likes

Добрый день!

Попытаемся провести аудит журнала безопасности.

Нам потребуется:  предмет аудита (компьютер, на котором проводим аудит), Скрипт, Scheduler и SMTP, при помощи которого отправляем необходимые нам события.

Итак, начнем с компьютера:

1.       Нам необходимо включить в групповой политике события, которые необходимо аудировать. Как это сделать, смотрим здесь: http://technet2.microsoft.com/WindowsServer/en/Library/d8fc798c-1e77-4043-b59c-971b4961d85a1033.mspx?mfr=true

2.       Настраиваем SMTP сервер. Открываем релей для IP-адреса компьютера, на котором будет выполняться скрипт.  Полную информацию можно посмотреть здесь: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/91aee03a-0d10-459f-9265-701be9743b1e.mspx?mfr=true

3.        Берем событие из Event Log.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Set colLoggedEvents = objWMIService.ExecQuery _
("Select * from Win32_NTLogEvent Where Logfile = 'Security'")

For Each objEvent in colLoggedEvents
Wscript.Echo "Category: " & objEvent.Category
Wscript.Echo "Computer Name: " & objEvent.ComputerName
Wscript.Echo "Event Code: " & objEvent.EventCode
Wscript.Echo "Message: " & objEvent.Message
Wscript.Echo "Record Number: " & objEvent.RecordNumber
Wscript.Echo "Source Name: " & objEvent.SourceName
Wscript.Echo "Time Written: " & objEvent.TimeWritten
Wscript.Echo "Event Type: " & objEvent.Type
Wscript.Echo "User: " & objEvent.User
 
Next

Теперь надо отправить это событие по электронной почте. Скрипт отправки сообщений по электронной почте.


Set objEmail = CreateObject("CDO.Message")

objEmail.From = "admin1@fabrikam.com"
objEmail.To = "admin2@fabrikam.com"
objEmail.Subject = "Server down"
objEmail.Textbody = "Server1 is no longer accessible over the network."
objEmail.Configuration.Fields.Item _
("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
objEmail.Configuration.Fields.Item _
("http://schemas.microsoft.com/cdo/configuration/smtpserver") = _
"smarthost"
objEmail.Configuration.Fields.Item _
("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
objEmail.Configuration.Fields.Update
objEmail.Send

 

4.        Теперь мастер-класс «как правильно прописать адрес электронной почты и адрес SMTP сервера».

5.        SMTP-сервером может выступать тот же самый компьютер, который мы аудируем.
Заменить поля, вставив нужные нам параметры из первой части скрипта во второй.
objEmail.Subject =
objEmail.Textbody =


Т.е если нам нужен в теме код события, то:
objEmail.Subject = objEvent.EventCode
а если в теле нужен текст сообщения, то:
objEmail.Textbody =objEvent.Message

В заключение хочу сказать, что использовал эту процедуру для мониторинга критически важных серверов в организации.

Comments
  • ctrl+c  => ctrl+v
    Больше ничего сказать не могу.

  • Маленькое резюме для руководителей и компаний партнеров, которые считают, что Exchange Hosting это не

  • Вопрос по процедуре отсылки сообщения на e-mail.

    Как поменять дефолтную кодировку? В букварях пишут:

    "...для использования русского языка в заголовке и теле сообщения необходимы дополнительные операторы, управляющие кодировками..."

    Что это за "дополнительные операторы", каков синтакс?

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment