Notifikasi Log Kejadian - E-mail / Otomatis / GPO - Bagaimana-Untuk

Notifikasi Log Kejadian - E-mail / Otomatis / GPO

Tutorial tentang cara membuat pemberitahuan otomatis melalui email pada entri log peristiwa tertentu. Secara khusus, ini sejalan dengan penerapan Kebijakan Pembatasan Perangkat Lunak berbasis daftar putih, sehingga Anda menerima email dengan semua detail terkait setiap kali kebijakan memblokir file. Ini juga dapat membantu dalam membuat notifikasi berbasis acara yang digunakan melalui GPO. Saya mendengar Spiceworks dapat melakukan pemberitahuan; namun, saya tahu pemindaian saya tidak cukup dekat untuk memberikan waktu respons yang diperlukan untuk proyek ini.

Saya tidak mengambil kredit untuk kode atau ide. Saya hanya memposting bagaimana saya bisa menciptakan apa yang saya butuhkan untuk menyelesaikan pekerjaan. Bagi mereka yang lebih baik dengan PowerShell, dll.Saya yakin Anda akan menemukan cara untuk merapikan ini sedikit.

OS yang digunakan:
Windows Server 2008 R2 untuk GPO dan AD
Windows 7 Pro untuk klien yang menerima pengaturan GPO.

9 Langkah total

Langkah 1: Buat skrip PowerShell Anda

Script powershell ini menanyakan eventviewer menggunakan "wevtutil" dan kemudian mengirim email dengan informasi yang dihasilkan. Ganti% FromEmail%,% ToEmail%, dan% MailServer% dengan informasi spesifik Anda.
Script PS:

Bersihkan Host

# ========================
# Bagian Pengumpulan Data
# ========================

Fungsi EventID-To-HTML ($ ComputerName = $ env: COMPUTERNAME)
{
$ EventResult = wevtutil qe Aplikasi / rd: true / c: 1 / f: teks / q: "* [Sistem [(EventID = 865)]]"
kembalikan $ EventResult

}

# ======================
# Mengirim Bagian Email
# ======================

$ strFrom = "% FromEmail%"
$ strTo = "% ToEmail%"
$ strSubject = "*** Pendengar Acara - SRP 865 ***"
$ strSMTPServer = "% MailServer%"

$ objEmailMessage = Objek-Baru system.net.mail.mailmessage
$ objEmailMessage.From = ($ strFrom)
$ objEmailMessage.To.Add ($ strTo)
$ objEmailMessage.Subject = $ strSubject
$ objEmailMessage.IsBodyHTML = $ true
$ objEmailMessage.Body = EventID-To-HTML

$ objSMTP = Objek-Baru Net.Mail.SmtpClient ($ strSMTPServer)
$ objSMTP.Send ($ objEmailMessage)

Langkah 2: Tempatkan PS Script di lokasi yang dapat dibaca pengguna

Saya memiliki folder penempatan untuk skrip saya. Tempatkan skrip Anda di lokasi yang sama, kemungkinan besar di server. Pastikan pengguna memiliki akses baca.
Contoh saya:
\% Server% Software Deploy Scripts srp865notify.ps1
(Catatan: Jika Anda sudah menggunakan Kebijakan Pembatasan Perangkat Lunak daftar putih, pastikan Anda memasukkan daftar putih tempat skrip ini akan dijalankan atau file .ps1 tidak diblokir. Saya telah menambahkan .ps1 ke daftar file yang tidak diizinkan.)

Langkah 3: Buat GPO untuk tugas yang dijadwalkan untuk menjalankan skrip PowerShell di acara.


Saya akan menganggap membuat dan menautkan GPO bukanlah hal baru bagi Anda.
Buat GPO> Konfigurasi Pengguna> Preferensi> Pengaturan Panel Kontrol> Tugas Terjadwal
Klik Kanan> Baru> Tugas Terjadwal Baru (Windows Vista dan yang lebih baru)
(Catatan: Konfigurasi Komputer adalah metode yang saya sukai, tetapi tidak berfungsi untuk non-admin, AKA dinonaktifkan oleh MS karena kerentanan yang belum diperbaiki)

Langkah 4: Konfigurasi Tab Umum


Tindakan: Drop down ke "Perbarui"
Berikan nama dan deskripsi.
Akun pengguna untuk dijalankan dengan kiri secara default:% LogonDomain% \% LogonUser%
Saya memilih "tersembunyi" dan mengkonfigurasi untuk: "Windows 7"

Langkah 5: Konfigurasi Tab Pemicu


Klik Baru,
Mulai tugas: Drop down menu ke "On an event"
Pengaturan: tombol radio "Dasar"
Setel "Log" ke: Aplikasi
Setel "Sumber" ke: Microsoft-Windows-SoftwareRestrictionPolicies
Setel "ID Peristiwa" menjadi: 865
Klik OK
(Catatan: Di Windows 7 Pro saya, saya membuat tugas tes dan sumbernya disebut "SoftwareRestrictionPolicies", itu membuat saya menjadi lingkaran ketika saya pergi untuk mengkonfigurasi GPO dan itu sebenarnya disebut "Microsoft-Windows-SoftwareRestrictionPolicies")

Langkah 6: Konfigurasi Tab Tindakan


Klik Baru,
Tindakan: menu tarik-turun ke "Mulai program"
Pengaturan:
Program / Skrip: "Powershell.exe"
Tambahkan Argumen: "-ExecutionPolicy Bypass -File \% Server% software deploy scripts srp865notify.ps1"
Mulai dalam: (kosong)
Klik OK
(Catatan: Kutipan tidak diperlukan, juga tidak bekerja di bagian argumen, bahkan jika jalur memiliki ruang saya percaya.)

Langkah 7: Konfigurasi Tab Ketentuan

Ini adalah tugas yang sederhana dan ingin dijalankan bahkan pada laptop dan tablet dengan daya baterai, jadi saya hapus centang "Mulai tugas hanya jika komputer menggunakan daya AC" di bawah bagian Daya.

Langkah 8: Terapkan GPO ke pengguna yang sesuai OU

Tautkan GPO ke OU yang berisi pengguna yang ingin Anda pengaruhi. Saya memilih untuk menautkannya ke semua pengguna saya.

Langkah 9: Seperti apa bentuk email itu, dan apa yang harus dilakukan dengannya


Di sini Anda melihat seperti apa e-mail itu, dan informasi apa yang dihasilkan oleh permintaan wevtutil. Itu tidak cantik, tetapi ia memiliki setiap informasi penting.
1) Stempel waktu
2) SID Pengguna
3) Nama Pengguna
4) Nama pengguna
5) Deskripsi berisi jalur file yang tepat diblokir.
Ini memungkinkan Anda untuk mengevaluasi program yang diblokir, siapa yang melakukannya dan dari mana, dan jika perlu tambahkan path file atau hash ke kebijakan daftar putih Anda.
(Atau bicarakan dengan mereka tentang mengapa mereka mengunduh program mousejiggler untuk menyiasati kebijakan penguncian screensaver Anda ...)

Saya ingin menerapkan Kebijakan Pembatasan Perangkat Lunak daftar putih untuk meningkatkan keamanan, tetapi saya juga tidak ingin melumpuhkan pengguna saya, karena ada proses pembelajaran di awal mencari tahu perangkat lunak apa yang akan berjalan dari mana. Mampu menyebarkan SRP, dan kemudian diberitahu melalui email dengan semua informasi terkait memungkinkan saya untuk bereaksi dengan cepat, dan semoga sebelum pengguna bahkan punya waktu untuk memasukkan tiket.

Juga, ini harus bermanfaat bagi siapa saja yang mencoba segala jenis pemberitahuan acara. Saya mengalami banyak jebakan di sepanjang jalan untuk membuat notifikasi ini, yang bisa dihindari dengan mengikuti tutorial ini, betapapun tidak elegannya itu.