三、事件触发器应用

　　这里主要应用一下“Eventtriggers /create”命令，这里要实现的目标是，当域用户登录windows server 2003域失败时自动给管理员发送一条报警信息，具体实现过程如下。

　　第一步：开启策略审核。在windows server 2003服务器中，执行“开始”→“管理工具”→“域控制器安全策略”打开域控制器安全策略设置窗口，依次定位到“安全设置”→“本地策略”→“审核策略”，双击右侧的“审核登录事件”，在打开的对话框中，勾选“失败”项应用登录失败审核策略，最后单击“确定”按钮使策略生效(如图3)。

　　图 3

　　第二步：创建触发器事件。首先创建一个批处理文件，假设名为AlertHack.bat，内容为“net send 10.150.221.201 “帐户登录失败，请检查系统日志””。然后创建一条事件触发器，命令如下：

　　Eventtriggers /create /tr alert /l security /eid 529 /tk f:AlertHack.bat

　　这时一条名为“alert”的触发器便创建好了(如图4)，当有用户登录失败时，系统便会自动发送一条消息“帐户登录失败，请检查系统日志”的信息至IP地址为10.150.221.201的机器。

　　图 4

　　当在事件查看器的安全日志中有ID为529的失败审核出现，那么它就会向管理员所在的机器发送一条报警信息，管理员收到消息后就可以去事件查看器中查看日志，查找此事件更详细的描述，在529事件中，将会记录登录的用户名及登录者的IP等信息，从这些信息中往往就可以发现哪些是正常的失败登录，更重要的是发现那些可疑的登录尝试，比如对管理员账户的登录尝试等，从而可以将被动检查日志变成主动监控，让系统更加安全。

　　四、小结

　　在事件触发器中，较为关键的一点便是EID，EID就是事件查看器中系统日志的“事件”列所对应的标号，如果想获得某一未曾发生过的事件EID，则执行一次相应的操作(如想知道IIS服务被停止的EID，可以手工将IIS停止一下来获得该事件的ID号)，从而获得事件的正确ID号信息。

　　另外事件触发器一旦创建便不会自动消息，即便是注销、关机、重新启动都不能使之消失，想清除某一事件触发器，必须使用“Eventtriggers /delete”进行删除。

　　上面只是给出了一个简单的小例子，在实际的使用过程中，我们可以根据自己的需要配置出更详细的“事件触发器”。虽然Eventtriggers在配置过程中，并没有提供窗口界面，也没有一些专门的解发器程序好用，但是因为其为系统自带，不仅可以节省成本，并且也不用担心和系统之间的兼容性问题，如果只是日常的应用，并没有非常大规模的事件触发操作需要配置，使用系统自带的事件触发器还是一个不错的选择。