Полезная вещь в случае оперативного реагирования на системное событие, либо в моем случае, полезно Администратору Информационной Безопасности, так как уведомления в рамках данной статьи будут "приходить" при включении\отключении пользователя в Active Directory.

Просмотр событий

Требуемые ID событий в данном случае, это 4725 - выключение, 4722 - включение учетной записи пользователя, можно обойтись самым простым методом - найти требуемое событие в списке событий, выбрать требуемое событие, в панели Actions выбрать - Attach Task To This Event...

В поле Name необходимо указать имя (можно использовать имя присвоенное по умолчанию).

1

Далее выбрать параметр Send an e-mail, заполнить требуемые поля - From, To, Subject, SMTP Server.

2

По окончанию, будет отображено сообщение о создании задачи.

3

Все хорошо, уведомление "приходит" но пустое, т.е. приходится тем не менее просматривать события, как сделать так, чтобы в сообщении о данном событии содержалась полезная информация? Попробуем созранять информацию о событии в файл, а файл в свою очередь прикреплять к уведомлению в в иде вложения. В данном случае можно воспользоваться утилитой wevtutil:

wevtutil qe ForwardedEvents /q:"*[System[(EventID=4722)]]" /f:text /rd:true /c:1

Здесь мы просматриваем последнее событие имеющее отношение к созданию пользователя, результаты можно сохранять в файл, в конечном виде был создан соотвествующий скрипт, с текстом в две строчки:

del %tmp%\UserEnabled.txt
wevtutil qe ForwardedEvents /q:"*[System[(EventID=4722)]]" /f:text /rd:true /c:1 > %tmp%\UserEnabled.txt

после чего, данный скрипт был добавлен в существующую задачу, в виде вложения был указан соответсвенно файл UserEnabled.txt

4

Добавить комментарий


Защитный код
Обновить

Сейчас 570 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз