ทีละขั้นตอน: วิธีการเรียกใช้การแจ้งเตือนทางอีเมลจากเหตุการณ์ Windows ที่มีรายละเอียดของเหตุการณ์โดยใช้ Windows Server 2016

บทนำ

การแจ้งเตือนอีเมลแจ้งเตือนจากเหตุการณ์ Windows โดยใช้ Windows Server 2016 ต้องการเพียงไม่กี่ขั้นตอน ระบุการดำเนินการที่จะเกิดขึ้นเมื่อ Task ถูกเรียกใช้งาน เนื่องจาก Microsoft ได้ตัดสินใจยกเลิกการใช้งาน "ส่งอีเมล" ตัวเลือกเดียวที่เรามีคือ Start a Program ในกรณีของเราโปรแกรมดังกล่าวจะเป็นสคริปต์ Powershell เพื่อรวบรวมข้อมูลบันทึกเหตุการณ์และแยกวิเคราะห์ ด้วยวิธีนี้เราจะสามารถส่งอีเมลที่มีรายละเอียด Log Event ที่สำคัญ งานนี้ได้รับการยืนยันใน Windows Server 2016 แต่ฉันสงสัยว่าควรจะทำงานบน Windows Server 2012 R2 และ Windows Server 2019 เช่นกัน ถ้าคุณใช้งานได้กับแพลตฟอร์มอื่นโปรดแสดงความคิดเห็นและแจ้งให้เราทราบหากคุณต้องเปลี่ยนแปลงอะไร

ขั้นตอนที่ 1- เขียนสคริปต์ Powershell

สิ่งแรกที่ต้องทำคือการเขียนสคริปต์ Powershell ที่เมื่อรันสามารถส่งอีเมลได้ ขณะที่ค้นคว้าข้อมูลนี้ฉันค้นพบวิธีต่างๆมากมายในการทำให้งานนี้สำเร็จดังนั้นสิ่งที่ฉันกำลังจะแสดงให้คุณเห็นเป็นเพียงวิธีหนึ่ง แต่คุณสามารถทดลองและใช้สิ่งที่เหมาะสมกับสภาพแวดล้อมของคุณได้ ในห้องทดลองของฉันฉันไม่ได้ใช้เซิร์ฟเวอร์ SMTP ของตนเองดังนั้นฉันจึงต้องเขียนสคริปต์ที่สามารถใช้ประโยชน์จากบัญชี Gmail ของฉันได้ คุณจะเห็นในสคริปต์ Powershell ของฉันว่ารหัสผ่านไปยังบัญชีอีเมลที่ตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ SMTP อยู่ในรูปแบบข้อความล้วน หากคุณกังวลว่าอาจมีบุคคลอื่นเข้าถึงสคริปต์ของคุณและค้นพบรหัสผ่านของคุณให้เข้ารหัสข้อมูลประจำตัวของคุณ Gmail ต้องการและการเชื่อมต่อ SSL รหัสผ่านของคุณควรปลอดภัยบนสายเช่นเดียวกับโปรแกรมรับส่งอีเมลอื่น ๆ ฉันมีตัวอย่างของสคริปต์ Powershell เมื่อใช้ร่วมกับ Task Scheduler ระบบจะส่งอีเมลแจ้งเตือนโดยอัตโนมัติเมื่อมีการบันทึกเหตุการณ์ใด ๆ ไว้ใน Windows Event Log ในสภาพแวดล้อมของฉันฉันบันทึกสคริปต์นี้ไว้ที่ C: Alerts DataKeeper.ps1

$ EventId = 16,20,23,150,219,220

$ A = Get-WinEvent -MaxEvents 1 -FilterHashTable @ {Logname = "ระบบ"; ID = $ EventId}
$ Message = $ A.Message
$ EventID = $ A.Id
$ MachineName = $ A.MachineName
$ แหล่งที่มา = $ A.ProviderName


$ EmailFrom = "sios@medfordband.com"
$ EmailTo = "sios@medfordband.com"
$ Subject = "การแจ้งเตือนจาก $ MachineName"
$ Body = "EventID: $ EventID`nSource: $ แหล่งที่มา` nMachineName: $ MachineName `nMessage: $ ข้อความ"
$ SMTPServer = "smtp.gmail.com"
$ SMTPClient = New-Object Net.Mail.SmtpClient ($ SmtpServer, 587)
$ SMTPClient.EnableSsl = $ true
$ SMTPClient.Credentials = New-Object System.Net.NetworkCredential
("sios@medfordband.com", "mySMTPP @ 55w0rd");
$ SMTPClient.Send ($ EmailFrom, $ EmailTo, $ หัวเรื่อง, $ Body)

ตัวอย่างอีเมลที่สร้างขึ้นจากสคริปต์ Powershell นั้นมีลักษณะดังนี้ คุณอาจสังเกตเห็นว่าสคริปต์ Powershell นี้ใช้ cmdlet Get-WinEvent เพื่อคว้ารายการบันทึกเหตุการณ์ล่าสุดจาก LogName, Source และ eventIDs ที่ระบุไว้ จากนั้นจะแยกวิเคราะห์เหตุการณ์และกำหนด EventID, Source, MachineName และ Message ให้เป็นตัวแปรที่จะใช้ในการเขียนอีเมล คุณจะเห็นว่า LogName, Source และ eventIDs ที่ระบุจะเหมือนกับที่คุณจะระบุเมื่อคุณตั้งค่า Scheduled Task ในขั้นตอนที่ 2

ขั้นตอนที่ 2 – ตั้งค่างานที่กำหนดเวลาไว้

ใน Task Scheduler สร้างงานตามที่แสดงในภาพหน้าจอต่อไปนี้

1. สร้างงานตรวจสอบว่างานถูกตั้งค่าเป็นเรียกใช้ว่าผู้ใช้ล็อกอินหรือไม่
2.  ในแท็บทริกเกอร์เลือกสร้างใหม่เพื่อสร้าง Trigger ซึ่งจะเริ่มงาน "On a Event" ในตัวอย่างของฉันฉันจะสร้างเหตุการณ์ที่เรียกใช้เวลาใด ๆ DataKeeper (extmirr) บันทึกเหตุการณ์ที่สำคัญเข้าสู่บันทึกของระบบ สร้างเหตุการณ์แบบกำหนดเองและตัวกรองกิจกรรมใหม่ดังที่แสดงด้านล่าง … สำหรับทริกเกอร์ของฉันฉันเรียกใช้งานการตรวจสอบโดยปกติของ SIOS DataKeeper (ExtMirr) EventIDs 16, 20, 23,150,219,220 คุณจะต้องตั้งค่ากิจกรรมเพื่อเรียกใช้กิจกรรมเฉพาะที่คุณต้องการตรวจสอบ คุณสามารถใส่ทริกเกอร์หลายรายการในงานเดียวกันได้หากต้องการรับการแจ้งเตือนเกี่ยวกับเหตุการณ์ที่มาจากบันทึกหรือแหล่งที่มาต่างๆ
   

   

    

3. เมื่อมีการกำหนดค่าทริกเกอร์เหตุการณ์คุณจะต้องกำหนดค่าแอ็คชันที่เกิดขึ้นเมื่อมีการเรียกใช้งานเหตุการณ์ ในกรณีของเราเราจะเรียกใช้สคริปต์ Powershell ที่เราสร้างขึ้นในขั้นตอนที่ 1
4. พารามิเตอร์สภาวะดีฟอลต์ควรมีค่าเพียงพอ
5. และสุดท้ายบนแท็บการตั้งค่าให้แน่ใจว่าคุณอนุญาตให้งานสามารถเรียกใช้ตามต้องการและ "คิวใหม่อินสแตนซ์" ถ้างานกำลังทำงานอยู่
   

   

ขั้นที่ 3 (ถ้าจำเป็น) – แก้ไขรหัสเหตุการณ์ของ Microsoft Windows DistributedCOM: 10016

ในทางทฤษฎีถ้าคุณทำทุกอย่างถูกต้องคุณควรสามารถเรียกใช้การแจ้งเตือนทางอีเมลจากเหตุการณ์ Windows โดยใช้ Windows Server 2016 อย่างไรก็ตามฉันได้รับสิทธิ์ในการอนุญาตแปลก ๆ จากเซิร์ฟเวอร์ของฉัน นี่คือการแก้ไขปัญหาของฉัน หวังว่ามันจะช่วยคุณได้เช่นกัน ในกรณีของฉันเมื่อฉันเรียกใช้เหตุการณ์ด้วยตนเองหรือถ้าฉันเรียกใช้สคริปต์ Powershell โดยตรงทุกอย่างทำงานตามที่คาดไว้และฉันจะได้รับอีเมล แต่ถ้าหนึ่ง EventIDs ถูกตรวจสอบเข้าสู่บันทึกเหตุการณ์จะไม่ส่งผลให้มีการส่งอีเมล เงื่อนงำเดียวที่ฉันมีคือรหัสเหตุการณ์: 10016 ถูกบันทึกไว้ในล็อกเหตุการณ์ระบบของฉันทุกครั้งที่ฉันคาด Task Trigger ตรวจพบเหตุการณ์ที่บันทึกไว้

ชื่อการเข้าสู่ระบบ: ระบบ
แหล่งที่มา: Microsoft-Windows-DistributedCOM
วันที่: 10/27/2018 5:59:47 PM
รหัสเหตุการณ์: 10016
ประเภทงาน: ไม่มี
ระดับ: ข้อผิดพลาด
คำสำคัญ: คลาสสิก
ผู้ใช้: DATAKEEPER  dave
คอมพิวเตอร์: sql1.datakeeper.local
รายละเอียด:
การตั้งค่าสิทธิ์เฉพาะแอปพลิเคชันไม่ได้ให้สิทธิ์การเปิดใช้งาน Local Activation 
สำหรับแอ็พพลิเคชันเซิร์ฟเวอร์ COM ที่มี CLSID 
{D63B10C5-BB46-4990-A94F-E40B9D520160}
และ APPID 
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
ให้กับผู้ใช้ DATAKEEPER  dave SID (S-1-5-21-25339xxxxx-208xxx580-6xxx06984-500) 
จากที่อยู่ LocalHost 
(ใช้ LRPC) ทำงานในคอนเทนเนอร์ของแอ็พพลิเคชัน SID (Unavailable) 
สิทธิ์การรักษาความปลอดภัยนี้สามารถแก้ไขได้โดยใช้เครื่องมือการจัดการบริการคอมโพเนนต์

ผลการค้นหา Google จำนวนมากสำหรับข้อผิดพลาดดังกล่าวบ่งชี้ว่าข้อผิดพลาดนั้นไม่เป็นพิษเป็นภัย รวมถึงคำแนะนำในการปราบปรามข้อผิดพลาดแทนที่จะแก้ไข อย่างไรก็ตามผมค่อนข้างแน่ใจว่าข้อผิดพลาดนี้เป็นสาเหตุของความล้มเหลวในปัจจุบันของฉัน ถ้าฉันไม่สามารถแก้ไขได้ถูกต้องจะเป็นการยากที่จะเรียกใช้การแจ้งเตือนทางอีเมลจาก Windows โดยใช้ Windows Server 2016 หลังจากการค้นหามากฉันสะดุดเมื่ออภิปรายกลุ่มข่าวนี้  คำตอบจาก Marc Whittlesey ชี้ไปในทิศทางที่ถูกต้อง นี่คือสิ่งที่เขาเขียน …

ฉันสามารถทำตามขั้นตอน 1-15 คำทุกคำสวย ๆ อย่างไรก็ตามเมื่อฉันไปถึงขั้นตอนที่ 16 ฉันไม่สามารถบอกได้อย่างแท้จริงว่าเขาต้องการให้ฉันทำอะไร ตอนแรกฉันได้รับ DATAKEEPER dave บัญชีผู้ใช้ Full Control ไปยัง RuntimeBroker แต่ไม่สามารถแก้ไขปัญหาได้ สุดท้ายฉันเลือก "ใช้ค่าเริ่มต้น" กับทั้งสามสิทธิ์และแก้ไขปัญหา ฉันไม่แน่ใจว่าเหตุใดจึงเกิดขึ้น ฉันคิดว่าฉันดีกว่าเขียนมันทั้งหมดลงในกรณีที่เกิดขึ้นอีกครั้งเพราะเอาฉันในขณะที่จะคิดออก

ขั้นตอนที่ 4 – ใช้การปรับใช้อัตโนมัติ

ถ้าคุณต้องการเปิดใช้งานการแจ้งเตือนเดียวกันในหลายระบบให้ส่งออกงานของคุณไปยังไฟล์ XML และนำเข้าในระบบอื่น ๆ ของคุณ หรือดียิ่งกว่านี้ ทำให้การนำเข้าเป็นส่วนหนึ่งของกระบวนการสร้างของคุณโดยใช้สคริปต์ Powershell หลังจากทำไฟล์ XML ของคุณพร้อมกับแชร์ไฟล์ดังที่แสดงในตัวอย่างต่อไปนี้

PS C: > ลงทะเบียน-ScheduledTask-Xml (รับเนื้อหา 
'\ myfileshare  tasks  DataKeeperAlerts.xml' | ออกสตริง) 
-TaskName "DataKeeperAlerts" - ผู้ใช้ datakeeper  dave 
-Password MyDomainP @ 55W0rd -Force

เรียกใช้การแจ้งเตือนทางอีเมลจากเหตุการณ์ Windows โดยใช้ Windows Server 2016

ในโพสต์ต่อไปของฉันฉันจะแสดงวิธีรับการแจ้งเตือนเมื่อบริการที่ระบุเริ่มหรือหยุด แน่นอนคุณสามารถตรวจสอบ EventID 7036 จาก Service Control Monitor ได้ แต่จะแจ้งให้คุณทราบเมื่อใดก็ตามที่บริการใด ๆ เริ่มหรือหยุดลง เราจำเป็นต้องขุดลึกขึ้นเล็กน้อยเพื่อให้แน่ใจว่าเราได้รับแจ้งเฉพาะเมื่อบริการที่เราสนใจเกี่ยวกับการเริ่มต้นหรือหยุดเท่านั้น หากคุณสนใจในบทความเกี่ยวกับวิธีใช้ของเราเช่นการแจ้งเตือนอีเมลแจ้งเตือนจากเหตุการณ์ Windows โดยใช้ Windows Server 2016 ให้คลิกที่นี่ ทำซ้ำจาก Clusteringformeremortals.com