事件触发器：网络监控更智能

《事件触发器：网络监控更智能》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、事件触发器：网络监控更智能～教育资源库　　事件查看器我想大家一定都非常熟悉了，通过事件查看器，我们可以查看服务器中发生的一些重要事件，如应用程序的运行情况、DNS服务器的运行情况，系统的资源调用、网络访问等详细信息。这些信息常常可以成为我们分析问题，解决问题以及发现潜在威胁重要参考资料，可以有效的帮助我们及时的对系统的故障、潜在威胁进行处理，确保服务器的正常运转，保障内部网络的安全。但是，通过事件查看器查看系统相关日志文件，必须是我们网络管理员主动去查看，并且还要细心的审核每一条记录，这样才能清楚

2、的了解发生了什么事件。如果发生了一些重要事件，能否让系统自动提示我们呢？其实通过事件触发器即可轻松实现这一目的。　　一、事件触发器映像　　事件查看器早已耳熟能详，那这个事件触发器又是怎么回事呢？从WindowsXP开始，windows就引入了事件触发器这一概念，只不过在Windows中很少会有人用到此功具，倒是在服务器上用好了，常常可以事半功倍。事件触发器程序允许对本地或远程计算机创建触发器事件，当特定的事件发生时，自动给网络管理员发送信息等。　　在命令提示符状态下执行eventtriggers/

3、?命令，可以查看事件触发器所支持的三种用法，这三种用法分别是创建、删除、显示触发器事件（如图1）。　　图1　　二、触发器命令参数了解　　从图1中可以看出，事件触发器主要包含三条命令，而我们所有需要进行的操作都是通过这三条命令进行的，而三条命令中也以Eventtriggers/create最为重要，也是要使用得最多的一条命令。并且Eventtriggers/create的后续参数还是相当多的，通过Eventtriggers/create/?可以查看详细的参数及参数的具体作用说明（如图2）。　　图2　

4、　删除和查询命令同样可以通过添加/?参数的方法来了解详细的参数说明。　　三、事件触发器应用　　这里主要应用一下Eventtriggers/create命令，这里要实现的目标是，当域用户登录windowsserver2003域失败时自动给管理员发送一条报警信息，具体实现过程如下。　　第一步：开启策略审核。在windowsserver2003服务器中，执行开始→管理工具→域控制器安全策略打开域控制器安全策略设置窗口，依次定位到安全设置→本地策略→审核策略，双击右

5、侧的审核登录事件，在打开的对话框中，勾选失败项应用登录失败审核策略，最后单击确定按钮使策略生效（如图3）。　　图3　　第二步：创建触发器事件。首先创建一个批处理文件，假设名为AlertHack.bat，内容为send10.150.221.201帐户登录失败，请检查系统日志。然后创建一条事件触发器，命令如下：　　Eventtriggers/create/tralert/lsecurity/eid529/tkf:AlertHack.bat　　这时一条名为alert的触发器便创建好了（如图4），当有用户

6、登录失败时，系统便会自动发送一条消息帐户登录失败，请检查系统日志的信息至IP地址为10.150.221.201的机器。　　图4　　当在事件查看器的安全日志中有ID为529的失败审核出现，那么它就会向管理员所在的机器发送一条报警信息，管理员收到消息后就可以去事件查看器中查看日志，查找此事件更详细的描述，在529事件中，将会记录登录的用户名及登录者的IP等信息，从这些信息中往往就可以发现哪些是正常的失败登录，更重要的是发现那些可疑的登录尝试，比如对管理员账户的登录尝试等，从而可以将被动检查日志变成主动

7、监控，让系统更加安全。　　四、小结　　在事件触发器中，较为关键的一点便是EID，EID就是事件查看器中系统日志的事件列所对应的标号，如果想获得某一未曾发生过的事件EID，则执行一次相应的操作（如想知道IIS服务被停止的EID，可以手工将IIS停止一下来获得该事件的ID号），从而获得事件的正确ID号信息。　　另外事件触发器一旦创建便不会自动消息，即便是注销、关机、重新启动都不能使之消失，想清除某一事件触发器，必须使用Eventtriggers/delete进行删除。　　上面只是给出了一个简单的小例子

8、，在实际的使用过程中，我们可以根据自己的需要配置出更详细的事件触发器。虽然Eventtriggers在配置过程中，并没有提供窗口界面，也没有一些专门的解发器程序好用，但是因为其为系统自带，不仅可以节省成本，并且也不用担心和系统之间的兼容性问题，如果只是日常的应用，并没有非常大规模的事件触发操作需要配置，使用系统自带的事件触发器还是一个不错的选择。12下一页友情提醒：，特别！上一页12友情提醒：，特别！