AD網域下，如何立即得知電腦主機已紀錄特定事件識別碼。

事件檢視器

apol 2022-11-24 14:23:05 ‧ 1496 瀏覽

分享至

之前有聽說當查看windows電腦的事件檢視器時，
若發現1102之事件識別碼時，表示有發生稽核記錄被刪除，而這很可能是駭客所為，
如果現在想查看公司網域下，各電腦主機是否有紀錄特定事件識別碼時(例如上述之1102)，應該如何做呢?
或者如何透過AD派送的功能更改網域內的設定，使其當有發生特定事件識別碼之事件時，立即通知網域管理者?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

chsinzk

iT邦研究生 2 級 ‧ 2022-11-24 14:36:46

可以使用工作排程器
觸發事件識別碼1102時發信到指定信箱

建立排程>觸發程序>事件發生時>

記錄檔> 看該紀錄是存在安全性還是系統上
輸入事件識別碼1102

執行動作設定郵件發信
可透過批次檔執行連線SMTP執行發信動作

回應 1
分享
檢舉

apol iT邦新手 4 級 ‧ 2022-12-04 23:19:50 檢舉

感謝您的回答，讓我知道工作排程器也有這種用法，謝謝~

登入發表回應

Kailis

iT邦研究生 1 級 ‧ 2022-11-24 15:38:15

可以參考這篇 4 easy ways to create email notifications for Event viewer

但更建議可以用Graylog 搭配 nxlog ce 收指定 event id , 再透過 graylog alert 發送通知,
這樣隨時可以透過dashboard 查看現況及歷史記錄, 相對更方便。

回應 1
分享
檢舉

apol iT邦新手 4 級 ‧ 2022-12-04 23:17:37 檢舉

感謝您給的參考資料，最後有實作成功。

登入發表回應

ahfuyeuem

iT邦研究生 4 級 ‧ 2022-11-25 08:43:16

可以參考一下之前寫的通知腳本
在工作排程器建立工作
觸發程序選擇 "事件發生時"
事件識別碼 : 1102

只要事件觸發就會寄信給你了

$smtpServer = "192.168.1.76"
$smtpFrom = new-object System.Net.Mail.MailAddress("IT@domain.com", "IT")
$smtpTo = @("ericlee@domain.com","andyliu@domain.com")

$Event = Get-EventLog -LogName Security -InstanceId 4740 -Newest 1
$User = $Event.ReplacementStrings[0]
$Computer = $Event.ReplacementStrings[1]
$Domain = $Event.ReplacementStrings[5]
$Body = "帳戶名稱: " + $Domain + "\" + $User + "`r`n" + "鎖定來源: " + $Computer + "`r`n" + "時間: " + $Event.TimeGenerated 
$Subject = "AD帳戶鎖定通知: " + $Domain + "\" + $User
Send-MailMessage -TO $smtpTo -from $smtpFrom -SmtpServer $smtpServer -body $body -Subject $subject -Encoding ([System.Text.Encoding]::UTF8)