Триггеры событий Windows

Мониторинг системы Windows с помощью триггеров событий

Благодаря триггерам можно настроить системные задания Windows, отслеживающие журналы событий и выполняющие определенное действие при возникновении события. Напри­мер, создать триггер, который отслеживает запись в журналы событий, связанных с нехваткой места, и который при возник­новении таких событий выполняет сценарий, удаляющий вре­менные или ненужные файлы, освобождая место на диске. Таким образом, триггеры событий способны не только автома­тизировать процесс мониторинга, но и помочь в устранении проблем по мере их возникновения, чтобы поддерживать про­изводительность системы на должном уровне, обеспечить ее целостность и т. д.

Создание триггеров событий — не то дело, которое можно делать мимоходом, без тщательного предварительного планиро­вания. Вам понадобится четкий план действий — набор целей, которых вы рассчитываете достигнуть, применяя триггеры со­бытий.

Зачем использовать триггеры событий?

Основная причина для использования триггеров событий — поддержание производительности приложений и системы на должном уровне. Например, если с серверным приложением связаны проблемы, которые вы обычно разрешаете вручную, возможно, вам удастся настроить триггеры событий, отслежи­вающие возникновение в журналах соответствующих ошибок и запускающие сценарии, которые предпринимают адекватные действия для устранения проблемы. В этом случае определить известные проблемы приложения можно, проанализировав журналы событий, опросив других администраторов или изу­чив статьи в базах знаний, описывающих проблемы. После этого сопоставьте проблемы конкретным событиям или типам событий, для которых вы можете настроить триггеры монито­ринга, а потом напишите сценарий, который уведомляет адми­нистраторов о проблеме или предпринимает определенные действия, решающие проблему. Этот сценарий используется в качестве задания, запускаемого триггером.

Еще одна распространенная причина использования триг­геров — быстрое обнаружение перерывов в работе приложений и служб, возможно, с восстановлением нормального функци­онирования. Когда приложение или служба останавливается, пользователи не могут работать с ресурсом, что может стоить организации времени и денег. В этом случае полезно просмот­реть документацию на предмет событий, возникающих, когда приложение или служба ведет себя ненормально. Затем, про­анализировав журналы событий на наличие таких же или сходных событий, определите источники, коды событий и опи­сания, чтобы создать триггеры для наблюдения за такими со­бытиями. И наконец, вы можете написать сценарий, который перезапускает приложение или предпринимает другие подхо­дящие действия для устранения проблем.

Примеры использования триггеров событий Windows

Триггеры событий также полезны для поддержания безо­пасности и целостности системы. При атаке на систему в жур­налы могут записываться события, указывающие на атакуемое приложение, компонент или службу. При атаке методом гру­бой силы злоумышленник, вероятно, будет подбирать комби­нации имен и паролей, пытаясь получить доступ. Если вы ве­дете мониторинг атакуемой системы, то увидите неудачные попытки регистрации в системе, соответствующие попыткам хакера получить доступ. Злоумышленник может попытаться остановить систему, приложение или службу, применяя атаку типа «отказ в обслуживании» (denial-of-service). Обычно ха­керы делают это, посылая последовательные потоки непра­вильно сформированных запросов. Такие попытки будут отра­жены в журналах соответствующих приложений, служб или системы в виде ошибок. Для борьбы с такими атаками на­стройте триггеры, следящие за соответствующими событиями, например за блокировкой учетной записи вследствие серии неудачных попыток регистрации.

2016  Командная строка Windows  
top Яндекс.Метрика