Проблема:
Часто возникает необходимость узнавать о том, что происходит какое-то событие в нашей операционной системе. Конечно, в нашем распоряжении есть журнал событий, и в нем регистрируется масса событий, таких как вход/выход пользователя в систему, старт или перезапуск системы и много, МНОГО, других событий. Часто эти события носят чисто информативный характер, но иногда они предупреждают нас о возможных проблемах, а в некоторых случаях явно указывают на ошибку.
Решение:
Хорошей практикой является, по крайней мере, раз в день просматривать журнал событий, но не все это делают, да и не всегда есть возможность. Конечно есть такие утилиты как Microsoft Operations Manager, но они требуют вложений и обучения персонала, что не всегда подходят для малого бизнеса.
Как показала практика, многим администраторам хочется узнавать о возникновении какого либо события по факту его возникновения и желательно методом оповещения, например, по средствам электронной почты. И как, опять же, показывает практика, не все знают, как это реализовать, а видь Windows содержит встроенное средство.
В данной статье речь пойдет о утилите командной строки eventtriggers.exe. Данная утилита находится в C:\WINDOWS\system32 и идет в стандартной поставке операционной системы Windows XP/2003.
Примечание: В версиях ОС MS Windows Vista и выше, утилита eventtriggers.exe не требуется, так как в них триггеры можно создавать напрямую в графическом интерфейсе журнала событий, либо планировщика заданий.
Как работает Eventtriggers.exe?
Утилита создает триггер, который будет отслеживать появления события в журнале и выполнять указанное действие. Например, при появлении события с номер 528, в журнале событий безопасности, выполнять скрипт, который отправит письмо на почтовый ящик администратора.
Приступая к работе...
Что бы начать работать с утилитой eventtriggers.exe откройте консоль командной строки и наберите
Код: Выделить всё
eventtriggers
Вы увидите надпись
INFO: No event triggers found
если в вашей системе не создано триггеров или вы увидите список уже созданных триггеров.
Тоже самое можно увидеть если набрать
Код: Выделить всё
eventtriggers /query
Помимо этого существует еще два ключа так называемого «верхнего уровня». Это /Create и /Delete которые создают и удаляют тригера.
Дополнительную информацию по ключам утилиты можно получить набрав
Код: Выделить всё
eventtriggers /?
или пройдя по ссылке.
Узнать больше о событиях Windows вам поможет следующий раздел сайта Microsoft:
http://www.microsoft.com/technet/suppor ... anced.aspx
Например, команда:
Код: Выделить всё
eventtriggers /create /TR "Lock Account" /TK "c:\Soft\Bat\LckAccount.vbs" /L Security /EID 644
создаст триггер, который будет запускать скрипт c:\Soft\Bat\LckAccount.vbs при блокировании учетной записи пользователя.