Windows Server 2012/2012 R2:事件驱动任务与网络监控及高级审计策略详解
1. 附加事件驱动任务
事件查看器允许将任务附加到特定事件上。不过,创建事件驱动任务时,需要事件日志中已有触发该任务的事件示例,事件基于相同的日志、源和事件 ID 触发。
附加任务到特定事件的步骤如下:
1. 打开事件查看器,定位并选择要作为新任务基础的事件。
2. 在事件查看器的“操作”窗格中,点击“将任务附加到此事件”,此时会显示“创建基本任务向导”。
3. 在“创建基本任务”页面,查看要创建的任务名称,默认情况下,任务以事件命名,点击“下一步”。
4. 在“事件记录时”页面,查看有关事件的信息,包括事件来源的日志、事件源和事件 ID,点击“下一步”。
5. 在“操作”页面(如图 10 - 16 所示),选择要执行的任务。“发送电子邮件”和“显示消息”任务已弃用,若尝试使用这些操作创建任务会出错,点击“下一步”。
6. 在“启动程序”页面(如图 10 - 17 所示),指定应自动触发的程序或脚本以及其他参数。
7. 完成任务创建后,可以修改任务以指定任务执行的安全上下文。默认情况下,事件任务仅在用户登录时运行,也可配置为无论用户是否登录都运行(如图 10 - 18 所示)。
虽然“发送电子邮件”任务已弃用,但可以使用“启动程序”选项执行发送电子邮件的 Windows PowerShell 脚本。在很多情况下,应尽可能直接调用任务,而不是向管理员发送消息让其执行任务。只有在需要通知自己无法通过运行脚本解决的问题时,才发送电子邮件消息。
