Windowsイベントトリガー

Windows Server 2008（Vista）では、システムログ内の任意のイベントにWindowsスケジューラタスクを添付できる新機能が登場しました。この機能を使用すると、管理者は特定のスクリプトを割り当てたり、Windowsイベントに電子メールアラートを送信したりできます。この機能について詳しく見ていきましょう。

特定のWindowsイベントが発生したときにタスクを実行することは、タスクスケジューラの緊密な統合に基づいています。 およびイベントビューア 。イベントビューアコンソールで、任意のスケジューラタスクを任意のWindowsイベントに直接割り当てることができます。イベントへの応答として、タスクスケジューラはスクリプトを実行したり、管理者（または他のユーザー）に電子メール通知を送信したりできます。

私たちのタスクは、ActiveDirectoryユーザーアカウントのロックアウトについてセキュリティ管理者に通知することであるとします。

ヒント 。説明のためにこのイベントを選択しました。実際、この機能を適用する範囲は非常に広いです。これらには、Windowsサービスの停止の通知、Exchangeバックアップの終了後のアプリの実行、Active Directoryセキュリティグループの変更の通知、または特定のディレクトリやファイルの変更などがあります。

ADユーザーアカウントのロックアウトのイベントは、ドメインコントローラーのセキュリティログに登録されます。ロックアウトのイベントIDは4740です。 。 Windowsイベントビューアを開きます（イベントビューア— eventvwr.msc ）そしてこのイベントを探してください。それを右クリックして、このイベントにタスクを添付を選択します 。

基本タスクの作成ウィザードが起動します。ウィザードにより、タスク名を指定するように求められます。自動的に生成されます— Security_Microsoft-Windows-Security-Auditing_4740 そしてそれは私たちにとっては大丈夫です。

次のステップでは、イベントログの種類、ソース、およびイベントIDを指定します。 （すべてのフィールドは自動的に入力され、このステップでは編集できません。）

次に、イベントへの応答のタイプを選択するように求められます。次の応答が利用可能です：

• プログラムを開始します
• メールを送信する
• メッセージを表示する

電子メール通知を選択します。送信者、受信者、SMTPサーバーアドレス、件名、および電子メールのテキストを指定します。

ウィザードの最後のステップで、トリガー設定を表示できます。その結果、イベント4740に接続された新しいタスクがタスクスケジューラに表示されます。 タスクスケジューラを開きます 管理ツールのコンソール。新しいタスクは、タスクスケジューラライブラリ->イベントビューアタスクにあります。 。

ここでは、イベントトリガー設定を変更して、イベントへの応答をテストするように強制することもできます。

ヒント 。添付する必要がある場合 複数のEventIDに対する1つのトリガー。コンマで区切って指定する必要があります。

トリガーがアクティブになります。 ADアカウントがロックアウトされると、指定された電子メールアドレスに通知書が送信されます。

注 。 Windows Server 2003および以前のWindowsバージョンの同じ機能は、コンソールユーティリティ eventtriggers.exeによって実装されました。 。このユーティリティを使用すると、システムログ内のイベントを監視し、特定のイベントにトリガーを割り当てることもできます。この例では、vbsまたはpowershellスクリプトを4740イベントに割り当てて、管理者メールボックスに電子メールを送信する必要がある場合、コマンドは次のようになります。

eventtriggers /create /TR “Lock Account” /TK “C:\WINDOWS\system32\windowspowershell\v1.0\powershell.exe c:\script\SendEmailAlert.ps1″ /L Security /EID 4740

この通知はあまり有益ではありません。イベントの詳細を表示するには、イベントビューアを開く必要があります。イベントログのデータを電子メールに添付してみましょう。ユーティリティwevtutil Windowsログから任意のイベントに関する情報を取得するために使用できます。したがって、セキュリティログから最後の4740イベントに関する情報を取得するには、次を実行する必要があります。

wevtutil qe Security /q:"*[System[(EventID=4740)]]" /f:text /rd:true /c:1

2行で構成されるスクリプト（query.cmd）を作成します。最初の行は最後のログファイルを削除し、2番目の行はログから最後のイベントを取得してログファイルに保存します。

del c:\script\query.txt
wevtutil qe Security /q:"*[System[(EventID=4740)]]" /f:text /rd:true /c:1 > c:\script\query.txt

これで、タスクスケジューラで以前に作成したトリガーの設定を開くだけで済みます。 [アクション]タブで、新しいアクションを追加します—スクリプトquery.cmdを開始します。次に、アクションの順序を変更し、右側の矢印ボタンを使用してリストの一番上に移動する必要があります。 （スクリプトを最初に実行する必要があります。）

次に、 c：\ script \ query.txt を選択して、2番目のアクション（電子メールの送信）を編集します。 手紙の添付ファイルとして。

注 。この例では、タスクを正しく機能させるために、昇格して実行する必要があります。これを行うには、設定をチェックインします。最高の権限で実行します。

タスクをもう一度テストしてみましょう。これで、管理者は、アカウント名、ロックアウト時間、およびその他の有用な情報に関するデータを含む、添付ファイル付きの通知を電子メールで受信します。

ヒント 。 Windowsイベントトリガーを使用してサーバー上の重大な問題について管理者に警告することは、System CenterOperationsManagerやZenossなどの監視システムのフル機能の代替ではありません。ただし、これは中小企業向けのシンプルな組み込みの監視および通知ツールであり、スタッフの実装やトレーニングに投資する必要はありません。

スケジューラタスクをシステムログのイベントにバインドすることは、Windows Server 2008/VistaのすべてのWindowsバージョンで機能します。この機能を使用すると、特定のサーバーの問題を管理者にすばやく警告して解決できます。

注 。 Windows Server 2012 R2では、タスクスケジューラは電子メールの送信をサポートしていません（非推奨）。
この目的には、PowerShell 3.0 – Send-MailMessageを使用することをお勧めします。 。