इवेंट लॉग अधिसूचना - ई-मेल / स्वचालित / जीपीओ - कैसे

इवेंट लॉग अधिसूचना - ई-मेल / स्वचालित / जीपीओ

किसी विशिष्ट ईवेंट लॉग प्रविष्टि पर ई-मेल के माध्यम से स्वचालित सूचनाएं बनाने का तरीका। विशेष रूप से, यह एक श्वेतसूची-आधारित सॉफ़्टवेयर प्रतिबंध नीति को लागू करने के लिए हाथ से जाता है, ताकि जब भी कोई फ़ाइल ब्लॉक करे तो आपको सभी प्रासंगिक विवरणों के साथ ई-मेल प्राप्त हो। यह GPO के माध्यम से तैनात किसी भी घटना-आधारित अधिसूचना को बनाने में भी सहायक हो सकता है। मैंने सुना है कि स्पाइकवर्क सूचनाएँ करने में सक्षम है; हालाँकि, मुझे पता है कि मेरे स्कैन इस परियोजना के लिए आवश्यक प्रतिक्रिया समय प्रदान करने के लिए पर्याप्त नहीं हैं।

मैं कोड या विचारों का कोई श्रेय नहीं लेता। मैं बस पोस्ट कर रहा हूं कि मैं वह काम कैसे कर सकता हूं जो मुझे काम करने के लिए आवश्यक था। उन लोगों के लिए जो कि पॉवरशेल आदि के साथ बेहतर हैं।मुझे यकीन है कि आपको इसे थोड़ा सा विकसित करने के तरीके मिलेंगे।

उपयोग में ओएस:
GPO और AD के लिए विंडोज सर्वर 2008 R2
GPO सेटिंग्स प्राप्त करने वाले क्लाइंट के लिए विंडोज 7 प्रो।

कुल 9 चरण

चरण 1: अपनी पॉवरशेल स्क्रिप्ट बनाएँ

यह शक्तियाँ स्क्रिप्ट "wevtutil" का उपयोग करके घटनाकर्ता से पूछताछ करती है और फिर परिणामी जानकारी के साथ एक ई-मेल भेजती है। अपनी विशिष्ट जानकारी के साथ% FromEmail%,% ToEmail% और% MailServer% बदलें।
पुनश्च स्क्रिप्ट:

साफ-होस्ट

# ========================
# संग्रह डेटा अनुभाग
# ========================

EventID-To-HTML ($ ComputerName = $ env: COMPUTERNAME)
{
$ EventResult = wevtutil qe अनुप्रयोग / rd: true / c: 1 / f: टेक्स्ट / q: "* [सिस्टम [(EventID = 865)]]"
$ EventResult वापस

}

# ======================
# ईमेल अनुभाग भेजना
# ======================

$ strFrom = "% FromEmail%"
$ strTo = "% ToEmail%"
$ strSubject = "*** इवेंट श्रोता - SRP 865 ***"
$ strSMTPServer = "% MailServer%"

$ objEmailMessage = New-Object system.net.mail.mailmessage
$ objEmailMessage.From = ($ strFrom)
$ ObjEmailMessage.To.Add ($ strTo)
$ objEmailMessage.Subject = $ strSubject
$ objEmailMessage.IsBodyHTML = $ true
$ objEmailMessage.Body = EventID-To-HTML

$ objSMTP = नई-वस्तु Net.Mail.SmtpClient ($ strSMTPServer)
$ ObjSMTP.Send ($ objEmailMessage)

चरण 2: उपयोगकर्ता के पढ़ने योग्य स्थान में PS स्क्रिप्ट रखें

मेरे पास मेरी स्क्रिप्ट के लिए परिनियोजन फ़ोल्डर है। अपनी स्क्रिप्ट को एक समान स्थान पर रखें, सर्वर पर सबसे अधिक संभावना है। सुनिश्चित करें कि उपयोगकर्ताओं के पास रीड-ऐक्सेस है।
मेरा उदाहरण:
\% सर्वर% सॉफ्टवेयर तैनात स्क्रिप्ट srp865notify.ps1
(ध्यान दें: यदि आप पहले से ही एक श्वेतसूची सॉफ्टवेयर प्रतिबंध नीति का उपयोग कर रहे हैं, तो सुनिश्चित करें कि आप श्वेत सूची को इस स्क्रिप्ट से चलाएंगे या वह .ps1 फ़ाइलें अवरुद्ध नहीं हैं। मैंने अपनी सूची में .ps1 को उन फ़ाइलों की सूची में जोड़ा है, जिनकी अनुमति नहीं है।)

चरण 3: ईवेंट पर पॉवरशेल स्क्रिप्ट चलाने के लिए निर्धारित कार्य के लिए GPO बनाएँ।


मुझे लगता है कि GPO बनाना और लिंक करना आपके लिए नया नहीं है।
GPO> उपयोगकर्ता कॉन्फ़िगरेशन> प्राथमिकताएँ> नियंत्रण कक्ष सेटिंग> शेड्यूल किए गए कार्य बनाएँ
राइट क्लिक> नया> नया अनुसूचित कार्य (विंडोज विस्टा और बाद में)
(नोट: कंप्यूटर विन्यास मेरा पसंदीदा तरीका था, लेकिन गैर-प्रवेशकों के लिए काम नहीं करता है, अयोग्य जोखिम के कारण MS द्वारा अक्षम किया गया AKA)

चरण 4: सामान्य टैब कॉन्फ़िगरेशन


क्रिया: "अपडेट" करने के लिए नीचे जाएँ
इसे एक नाम और विवरण दें।
उपयोगकर्ता खाता डिफ़ॉल्ट पर बाईं ओर चलने के लिए:% LogonDomain% \% LogonUser%
मैंने "छिपा" चुना और इसके लिए कॉन्फ़िगर किया: "विंडोज 7"

चरण 5: ट्रिगर टैब कॉन्फ़िगरेशन


नया क्लिक करें,
कार्य शुरू करें: "एक घटना पर" मेनू नीचे छोड़ें
सेटिंग्स: "बेसिक" रेडियो बटन
"लॉग" को: एप्लिकेशन पर सेट करें
"स्रोत" पर सेट करें: Microsoft-Windows-SoftwareRestrictionPolurities
"इवेंट आईडी" को 865 पर सेट करें
ओके पर क्लिक करें
(नोट: मेरे विंडोज 7 प्रो पर, मैंने एक परीक्षण कार्य बनाया और स्रोत को "SoftwareRestrictionPolatics" कहा गया, जब GPO को कॉन्फ़िगर करने के लिए मैं गया तो उसने मुझे एक लूप के लिए फेंक दिया और इसे वास्तव में "Microsoft-Windows-Software -estestrictionPolatics" कहा गया)

चरण 6: क्रियाएँ टैब कॉन्फ़िगरेशन


नया क्लिक करें,
क्रिया: "प्रोग्राम प्रारंभ करें" के लिए मेनू नीचे छोड़ें
सेटिंग्स:
कार्यक्रम / स्क्रिप्ट: "Powershell.exe"
तर्क जोड़ें: "-ExecutionPolicy Bypass -File \% Server% software तैनात स्क्रिप्ट srp865notify.ps1"
में शुरू: (रिक्त)
ओके पर क्लिक करें
(नोट: उद्धरणों की आवश्यकता नहीं है, न ही वे तर्क खंड में काम करते हैं, भले ही पथ में रिक्त स्थान हों, जो मुझे विश्वास है)।

चरण 7: शर्तें टैब कॉन्फ़िगरेशन

यह एक सरल कार्य है और यह बैटरी पावर पर लैपटॉप और टैबलेट पर भी चलना चाहता है, इसलिए मैंने पावर अनुभाग के तहत "कार्य को तभी शुरू करें जब कंप्यूटर एसी पावर पर है"।

चरण 8: उपयुक्त उपयोगकर्ताओं को GU लागू करें OU

जिन उपयोगकर्ताओं को आप प्रभावित करना चाहते हैं, उन्हें GPO को एक OU से लिंक करें। मैंने इसे अपने सभी उपयोगकर्ताओं के लिए लिंक करने के लिए चुना।

चरण 9: ई-मेल कैसा दिखता है, और इसके साथ क्या करना है


यहां आप देखते हैं कि ई-मेल कैसा दिखता है, और किस जानकारी के कारण वीवॉटिल क्वेरी का परिणाम हुआ। यह सुंदर नहीं है, लेकिन इसमें महत्वपूर्ण जानकारी का हर एक टुकड़ा है।
1) समय-चिह्न
2) उपयोगकर्ता एसआईडी
3) प्रयोक्ता नाम
4) कंप्यूटरनाम
5) विवरण जिसमें सटीक फ़ाइल पथ अवरुद्ध है।
यह आपको अवरुद्ध प्रोग्राम का मूल्यांकन करने की अनुमति देता है कि यह किसने और कहाँ से किया है, और यदि आवश्यक हो तो अपनी श्वेतसूची नीति में फ़ाइल पथ या हैश को जोड़ें।
(या उनसे बात करें कि वे आपकी स्क्रीनसेवर-लॉक नीतियों को प्राप्त करने के लिए एक माउसजिगर प्रोग्राम क्यों डाउनलोड कर रहे हैं।)

मैं सुरक्षा बढ़ाने के लिए एक श्वेतसूची सॉफ्टवेयर प्रतिबंध नीति को लागू करना चाहता हूं, लेकिन मैं अपने उपयोगकर्ताओं को अपंग नहीं करना चाहता, क्योंकि इस बात की शुरुआत में एक सीखने की प्रक्रिया है कि सॉफ्टवेयर कहां से चलेगा। एसआरपी को तैनात करने में सक्षम होने के नाते, और फिर सभी प्रासंगिक जानकारी के साथ ई-मेल द्वारा सूचित किया जाना मुझे त्वरित रूप से प्रतिक्रिया करने की अनुमति देता है, और उम्मीद है कि इससे पहले कि उपयोगकर्ता के पास टिकट रखने का भी समय हो।

साथ ही, किसी भी प्रकार के ईवेंट सूचना के प्रयास के लिए यह उपयोगी होना चाहिए। मैं इस अधिसूचना को बनाने के तरीके के साथ कई नुकसानों में भाग गया, जो कि इस ट्यूटोरियल का पालन करके बचा जा सकता है, हालांकि यह सुरुचिपूर्ण हो सकता है।