Windows Server 2008系统事件日志功能记录了服务器系统中发生的各种重要事情,比方说网络访问、系统登录、程序运行、资源调用等,记录的事件内容主要包括事件描述、事件来源、事件类型等。仔细分析这些事件内容,
网络管理员既能了解服务器系统的运行状态,又能对暗藏在系统中的威胁进行及时处理,保证服务器系统的运行安全性。
不过,网络管理员必须每次主动查看事件日志,才能了解到服务器系统中发生了什么事情;如果服务器系统中发生了重要事情时,能否让Windows Server 2008系统自动弹出提示提醒网络管理员呢?答案是
肯定的!我们可以利用Windows Server 2008系统的触发器功能,来让服务器自动地提醒网络管理员发生了哪些重要事件,而不需要每次采用手工方式查看系统日志文件。
创建新的触发任务
Windows Server 2008系统的触发任务是基于特定事件创建的,我们首先需要让系统能对某个故障现象进行记录并生成一个事件,然后通过该系统新增加的附加任务功能,将指定的触发任务附加到目标事件中,日后一旦相同的事件发生时,指定的触发任务就能自动运行,来通知网络管理员当前服务器系统中发生了哪些重要的事情。
在默认状态下,Windows Server 2008系统不会对某个故障现象进行自动记录,我们必须对具体的故障现象进行审核,那样一来Windows Server 2008系统的事件查看器才能对具体的故障现象进行跟踪记录。例如,要想让Windows Server 2008系统的事件查看器自动记忆用户账号被恶意删除事件时,我们就应该依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中双击“管理工具”图标,再在管理工具列表中双击“本地安全策略”选项,打开本地安全策略列表窗口;
在该列表窗口的左侧显示区域,依次展开“安全策略”/“审核策略”分支选项,在“审核策略”分支下面双击“审核账户管理”选项,打开如图1所示的选项设置对话框,选中“本地安全设置”标签,在对应的标签页面中选中“成功”或“失败”选项,再单击“确定”按钮,如此一来Windows Server 2008系统就会自动跟踪并记录添加或删除用户帐号事件了。
一旦对指定操作启用了审核功能后,Windows Server 2008系统就会在对应的日志文件中自动记录下相关的操作事件,例如以后只有有用户帐号被偷偷删除操作发生时,Windows Server 2008系统的日志文件中就会自动出现相应的记录文件。在查看这个具体的记录内容时,我们可以先打开Windows Server 2008系统的“开始”菜单,从中依次点选“设置”、“控制面板”、“系统和维护”、“管理工具”选项,在弹出的管理工具列表窗口中单击“事件查看器”图标,打开事件查看器控制台窗口,在该窗口的左侧显示区域展开“Windows日志”节点选项,我们从该选项下面会看到“系统”、“安全”、“应用程序”、“转发事件”、“安装程序”等不同类别的事件内容,用鼠标双击
某一类别下面的具体事件记录,就能打开对应事件记录的详细信息界面,在这里我们便可以了解到指定事件的来源、事件ID以及其他说明信息了。
不过,每次采用手工方法查看事件记录内容往往比较烦琐,而且网络管理员也很难在第一时间知道服务器系统中究竟发生了哪些重要的事件。为此,我们可以对某一特定的事件附加触发任务,当以后有相同的事件记录再次生成时,Windows Server 2008系统的触发器就能自动工作,来执行指定的任务计划,通过这个任务计划我们可以把当前发生的事件内容自动通知给网络管理员,网络管理员得到通知信息后,就能及时采取措施来解决服务器系统中存在的安全隐患了。
在创建新的触发任务时,我们先要从事件查看器窗口中找到具体的某一事件记录,例如用户帐号被删除的事件记录,然后用鼠标右键单击该记录选项,从弹出的快捷菜单中单击“将任务附加到此事件”命令,打开触发任务创建向导对话框,依照向导提示设置好新任务的名称信息,之后选中一个合适的触发方式,Windows Server 2008系统的触发器为用户提供了三种触发方式,它们分别为显示消息、发送电子邮件、启动应用程序,选择好某种触发方式后,再设置好具体的触发内容,最后单击“完成”按钮结束新触发任务的创建工作。
NextPage]
管理已有触发任务
创建成功的各个触发任务会自动出现在Windows Server 2008系统的任务计划列表中,进入任务计划列表窗口,我们就可以对已有触发任务进行随心所欲地管理、设置了。在管理已有触发任务时,我们可以按照如下步骤进行操作:
首先以系统管理员权限登录进入Windows Server 2008系统,依次单击该系统桌面中的“开始”/“程序”/“附件”/“系统工具”/“任务计划程序”命令,打开对应系统的任务计划列表窗口;
其次在该列表窗口的左侧显示区域,用鼠标逐一展开“任务计划程序库”/“Microsoft”/“事件查看器任务”分支选项,在对应“事件查看器任务”分支选项的中间显示区域,我们会看到Windows Server 2008系统中所有已经创建成功的触发任务。
在这里我们可以对每一个触发任务的各种参数进行修改,例如要修改某个任务计划的触发方式时,我们只要用鼠标右键单击具体的触发任务,从弹出的如图2所示右键菜单中执行“属性”命令,打开目标触发任务的属性设置窗口。
在该设置窗口的“常规”标签页面中,我们可以指定目标触发任务的运行选项,例如是否在登录系统时运行目标触发任务,还是不管用户是否登录都要运行等,对于一些特殊的触发任务,我们有时需要在这里选中“使用最高权限运行”选项,确保目标触发任务中既定的操作能够顺利地在Windows Server 2008系统中被成功执行。
在“触发器”标签页面中,我们可以通过单击“新建”按钮,来重新创建一个新的触发器任务,通过单击“编辑”按钮来对当前选定的触发器进行一些高级设置,例如可以指定目标触发任务的延迟任务时间、重复任务间隔、过期日期等参数,通过单击“删除”按钮来将一些不需要的触发任务从Windows Server 2008系统中删除掉。
在“操作”标签页面中,我们可以查看到目标触发任务正在使用的触发方式是什么,如果需要调整使用新的触发方式时,可以先选中当前正在使用的触发方式,并单击“删除”按钮将目标触发方式删除掉,之后单击“新建”按钮来创建一个新的触发方式。此外,我们还能单击这里的“编辑”按钮,来修改当前正在使用的触发方式的一些触发参数,例如修改触发标题、触发内容,选用不同的触发程序等。
在“条件”标签页面中,我们可以指定用于与触发器一起判断是否应运行该任务的条件,要是在这里设置的条件不是真,那么目标触发任务将不会被自动执行。例如,我们可以设置在本地计算机处于空闲状态多长时间后就能自动运行当前触发任务,也可以设置只有本地计算机在使用交流电源时才启动运行当前触发任务,甚至还能设置在指定网络连接有效时才能启动运行目标触发任务(如图3所示)。
在“设置”标签页面中,我们可以指定影响目标触发任务的一些其他设置参数。例如,我们可以设置在目标任务触发失败后,过多长时间重新启动运行目标触发任务;也可以指定目标触发任务运行时间超过多长时间时,自动停止运行任务。