創(chuàng)建新的觸發(fā)任務

Windows Server 2008系統(tǒng)事件日志功能記錄了服務器系統(tǒng)中發(fā)生的各種重要事情，比方說網(wǎng)絡訪問、系統(tǒng)登錄、程序運行、資源調(diào)用等，記錄的事件內(nèi)容主要包括事件描述、事件來源、事件類型等。仔細分析這些事件內(nèi)容，網(wǎng)絡管理員既能了解服務器系統(tǒng)的運行狀態(tài)，又能對暗藏在系統(tǒng)中的威脅進行及時處理，保證服務器系統(tǒng)的運行安全性。不過，網(wǎng)絡管理員必須每次主動查看事件日志，才能了解到服務器系統(tǒng)中發(fā)生了什么事情；如果服務器系統(tǒng)中發(fā)生了重要事情時，能否讓Windows Server 2008系統(tǒng)自動彈出提示提醒網(wǎng)絡管理員呢？答案是肯定的！我們可以利用Windows Server 2008系統(tǒng)的觸發(fā)器功能，來讓服務器自動地提醒網(wǎng)絡管理員發(fā)生了哪些重要事件，而不需要每次采用手工方式查看系統(tǒng)日志文件。

創(chuàng)建新的觸發(fā)任務

Windows Server 2008系統(tǒng)的觸發(fā)任務是基于特定事件創(chuàng)建的，我們首先需要讓系統(tǒng)能對某個故障現(xiàn)象進行記錄并生成一個事件，然后通過該系統(tǒng)新增加的附加任務功能，將指定的觸發(fā)任務附加到目標事件中，日后一旦相同的事件發(fā)生時，指定的觸發(fā)任務就能自動運行，來通知網(wǎng)絡管理員當前服務器系統(tǒng)中發(fā)生了哪些重要的事情。

在默認狀態(tài)下，Windows Server 2008系統(tǒng)不會對某個故障現(xiàn)象進行自動記錄，我們必須對具體的故障現(xiàn)象進行審核，那樣一來Windows Server 2008系統(tǒng)的事件查看器才能對具體的故障現(xiàn)象進行跟蹤記錄。例如，要想讓Windows Server 2008系統(tǒng)的事件查看器自動記憶用戶賬號被惡意刪除事件時，我們就應該依次單擊“開始/“設置/“控制面板命令，在彈出的系統(tǒng)控制面板窗口中雙擊“管理工具圖標，再在管理工具列表中雙擊“本地安全策略選項，打開本地安全策略列表窗口；

在該列表窗口的左側(cè)顯示區(qū)域，依次展開“安全策略/“審核策略分支選項，在“審核策略分支下面雙擊“審核賬戶管理選項，打開如圖1所示的選項設置對話框，選中“本地安全設置標簽，在對應的標簽頁面中選中“成功或“失敗選項，再單擊“確定按鈕，如此一來Windows Server 2008系統(tǒng)就會自動跟蹤并記錄添加或刪除用戶帳號事件了。

一旦對指定操作啟用了審核功能后，Windows Server 2008系統(tǒng)就會在對應的日志文件中自動記錄下相關的操作事件，例如以后只有有用戶帳號被偷偷刪除操作發(fā)生時，Windows Server 2008系統(tǒng)的日志文件中就會自動出現(xiàn)相應的記錄文件。在查看這個具體的記錄內(nèi)容時，我們可以先打開Windows Server 2008系統(tǒng)的“開始菜單，從中依次點選“設置、“控制面板、“系統(tǒng)和維護、“管理工具選項，在彈出的管理工具列表窗口中單擊“事件查看器圖標，打開事件查看器控制臺窗口，在該窗口的左側(cè)顯示區(qū)域展開“Windows日志節(jié)點選項，我們從該選項下面會看到“系統(tǒng)、“安全、“應用程序、“轉(zhuǎn)發(fā)事件、“安裝程序等不同類別的事件內(nèi)容，用鼠標雙擊

某一類別下面的具體事件記錄，就能打開對應事件記錄的詳細信息界面，在這里我們便可以了解到指定事件的來源、事件ID以及其他說明信息了。

不過，每次采用手工方法查看事件記錄內(nèi)容往往比較煩瑣，而且網(wǎng)絡管理員也很難在第一時間知道服務器系統(tǒng)中究竟發(fā)生了哪些重要的事件。為此，我們可以對某一特定的事件附加觸發(fā)任務，當以后有相同的事件記錄再次生成時，Windows Server 2008系統(tǒng)的觸發(fā)器就能自動工作，來執(zhí)行指定的任務計劃，通過這個任務計劃我們可以把當前發(fā)生的事件內(nèi)容自動通知給網(wǎng)絡管理員，網(wǎng)絡管理員得到通知信息后，就能及時采取措施來解決服務器系統(tǒng)中存在的安全隱患了。

在創(chuàng)建新的觸發(fā)任務時，我們先要從事件查看器窗口中找到具體的某一事件記錄，例如用戶帳號被刪除的事件記錄，然后用鼠標右鍵單擊該記錄選項，從彈出的快捷菜單中單擊“將任務附加到此事件命令，打開觸發(fā)任務創(chuàng)建向?qū)υ捒颍勒障驅(qū)崾驹O置好新任務的名稱信息，之后選中一個合適的觸發(fā)方式，Windows Server 2008系統(tǒng)的觸發(fā)器為用戶提供了三種觸發(fā)方式，它們分別為顯示消息、發(fā)送電子郵件、啟動應用程序，選擇好某種觸發(fā)方式后，再設置好具體的觸發(fā)內(nèi)容，最后單擊“完成按鈕結束新觸發(fā)任務的創(chuàng)建工作。

管理已有觸發(fā)任務

創(chuàng)建成功的各個觸發(fā)任務會自動出現(xiàn)在Windows Server 2008系統(tǒng)的任務計劃列表中，進入任務計劃列表窗口，我們就可以對已有觸發(fā)任務進行隨心所欲地管理、設置了。在管理已有觸發(fā)任務時，我們可以按照如下步驟進行操作：

首先以系統(tǒng)管理員權限登錄進入Windows Server 2008系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始/“程序/“附件/“系統(tǒng)工具/“任務計劃程序命令，打開對應系統(tǒng)的任務計劃列表窗口；

其次在該列表窗口的左側(cè)顯示區(qū)域，用鼠標逐一展開“任務計劃程序庫/“Microsoft/“事件查看器任務分支選項，在對應“事件查看器任務分支選項的中間顯示區(qū)域，我們會看到Windows Server 2008系統(tǒng)中所有已經(jīng)創(chuàng)建成功的觸發(fā)任務。

在這里我們可以對每一個觸發(fā)任務的各種參數(shù)進行修改，例如要修改某個任務計劃的觸發(fā)方式時，我們只要用鼠標右鍵單擊具體的觸發(fā)任務，從彈出的如圖2所示右鍵菜單中執(zhí)行“屬性命令，打開目標觸發(fā)任務的屬性設置窗口。

在該設置窗口的“常規(guī)標簽頁面中，我們可以指定目標觸發(fā)任務的運行選項，例如是否在登錄系統(tǒng)時運行目標觸發(fā)任務，還是不管用戶是否登錄都要運行等，對于一些特殊的觸發(fā)任務，我們有時需要在這里選中“使用最高權限運行選項，確保目標觸發(fā)任務中既定的操作能夠順利地在Windows Server 2008系統(tǒng)中被成功執(zhí)行。

在“觸發(fā)器標簽頁面中，我們可以通過單擊“新建按鈕，來重新創(chuàng)建一個新的觸發(fā)器任務，通過單擊“編輯按鈕來對當前選定的觸發(fā)器進行一些高級設置，例如可以指定目標觸發(fā)任務的延遲任務時間、重復任務間隔、過期日期等參數(shù)，通過單擊“刪除按鈕來將一些不需要的觸發(fā)任務從Windows Server 2008系統(tǒng)中刪除掉。

在“操作標簽頁面中，我們可以查看到目標觸發(fā)任務正在使用的觸發(fā)方式是什么，如果需要調(diào)整使用新的觸發(fā)方式時，可以先選中當前正在使用的觸發(fā)方式，并單擊“刪除按鈕將目標觸發(fā)方式刪除掉，之后單擊“新建按鈕來創(chuàng)建一個新的觸發(fā)方式。此外，我們還能單擊這里的“編輯按鈕，來修改當前正在使用的觸發(fā)方式的一些觸發(fā)參數(shù)，例如修改觸發(fā)標題、觸發(fā)內(nèi)容，選用不同的觸發(fā)程序等。

在“條件標簽頁面中，我們可以指定用于與觸發(fā)器一起判斷是否應運行該任務的條件，要是在這里設置的條件不是真，那么目標觸發(fā)任務將不會被自動執(zhí)行。例如，我們可以設置在本地計算機處于空閑狀態(tài)多長時間后就能自動運行當前觸發(fā)任務，也可以設置只有本地計算機在使用交流電源時才啟動運行當前觸發(fā)任務，甚至還能設置在指定網(wǎng)絡連接有效時才能啟動運行目標觸發(fā)任務（如圖3所示）。

在“設置標簽頁面中，我們可以指定影響目標觸發(fā)任務的一些其他設置參數(shù)。例如，我們可以設置在目標任務觸發(fā)失敗后，過多長時間重新啟動運行目標觸發(fā)任務；也可以指定目標觸發(fā)任務運行時間超過多長時間時，自動停止運行任務

觸發(fā)器的實戰(zhàn)應用

巧妙利用觸發(fā)器功能，我們可以對Windows Server 2008服務器系統(tǒng)的運行狀態(tài)進行即時監(jiān)控，一旦服務器系統(tǒng)發(fā)生意外事件時，觸發(fā)器能夠自動把發(fā)生的事件通知給服務器管理員，以便管理員在第一時間采取措施保護服務器運行狀態(tài)不受影響。

例如，我們可以對Windows Server 2008系統(tǒng)賬號的創(chuàng)建行為進行跟蹤，一旦有非法賬號創(chuàng)建時，網(wǎng)絡管理員能夠及時收到報警信息。要實現(xiàn)這樣的監(jiān)控目的，我們可以先打開Windows Server 2008系統(tǒng)的本地安全策略列表窗口，依次點選其中的“安全策略/“審核策略/“審核賬戶管理選項，并用鼠標雙擊該選項，之后選中“成功或“失敗選項，再單擊“確定按鈕，這樣的話Windows Server 2008系統(tǒng)就能自動跟蹤并記錄添加或刪除用戶帳號事件了。

接著用鼠標右鍵單擊“計算機圖標，從彈出的快捷菜單中執(zhí)行“管理命令，打開對應系統(tǒng)的計算機管理窗口，在該管理窗口的左側(cè)顯示區(qū)域依次選中“配置/“本地用戶和組/“用戶選項，并用鼠標右鍵單擊該選項，再執(zhí)行右鍵菜單中的“新用戶命令，在其后彈出的用戶賬號創(chuàng)建對話框中，隨意創(chuàng)建一個新的用戶賬號，這時Windows Server 2008系統(tǒng)的事件查看器窗口中就會自動生成一個創(chuàng)建新用戶賬號的事件了。

下面，依次單擊Windows Server 2008系統(tǒng)“開始菜單中的“設置/“控制面板/“系統(tǒng)和維護/“管理工具選項，再雙擊“事件查看器圖標，打開事件查看器控制臺窗口，在該窗口的左側(cè)顯示區(qū)域展開“Windows日志節(jié)點選項，然后從該選項下面的“系統(tǒng)分支下面找到剛剛創(chuàng)建好的創(chuàng)建新用戶賬號事件，再用鼠標右鍵單擊該事件選項，從彈出的快捷菜單中點選“將任務附加到此事件命令，打開觸發(fā)任務創(chuàng)建向?qū)υ捒颍勒障驅(qū)崾驹O置好新任務的名稱為“監(jiān)控非法創(chuàng)建賬號，選中觸發(fā)方式為“顯示消息，將觸發(fā)內(nèi)容設置為“服務器系統(tǒng)中有賬號可能被非法創(chuàng)建，最后單擊“完成按鈕，如此一來“監(jiān)控非法創(chuàng)建賬號的觸發(fā)任務就算創(chuàng)建成功了。

日后，一旦服務器系統(tǒng)中有人偷偷創(chuàng)建用戶賬號時，服務器系統(tǒng)屏幕上將會自動出現(xiàn)如圖4所示的報警提示信息，看到這樣的提示信息，網(wǎng)絡管理員就知道有非法用戶在服務器系統(tǒng)中偷偷創(chuàng)建用戶賬號了，此時網(wǎng)絡管理員應該及時將新創(chuàng)建的陌生賬號刪除掉，以防止陌生賬號給服務器的穩(wěn)定運行帶來安全威脅。