用好Windows Server 2008系统触发器

Windows Server 2008系统事件日志功能记录了服务器系统中发生的各种重要事情，比方说网络访问、系统登录、程序运行、资源调用等，记录的事件内容主要包括事件描述、事件来源、事件类型等。仔细分析这些事件内容，网络管理员既能了解服务器系统的运行状态，又能对暗藏在系统中的威胁进行及时处理，保证服务器系统的运行安全性。不过，网络管理员必须每次主动查看事件日志，才能了解到服务器系统中发生了什么事情；如果服务器系统中发生了重要事情时，能否让Windows Server 2008系统自动弹出提示提醒网络管理员呢？答案是肯定的！我们可以利用Windows Server 2008系统的触发器功能，来让服务器自动地提醒网络管理员发生了哪些重要事件，而不需要每次采用手工方式查看系统日志文件。

创建新的触发任务

Windows Server 2008系统的触发任务是基于特定事件创建的，我们首先需要让系统能对某个故障现象进行记录并生成一个事件，然后通过该系统新增加的附加任务功能，将指定的触发任务附加到目标事件中，日后一旦相同的事件发生时，指定的触发任务就能自动运行，来通知网络管理员当前服务器系统中发生了哪些重要的事情。

在默认状态下，Windows Server 2008系统不会对某个故障现象进行自动记录，我们必须对具体的故障现象进行审核，那样一来Windows Server 2008系统的事件查看器才能对具体的故障现象进行跟踪记录。例如，要想让Windows Server 2008系统的事件查看器自动记忆用户账号被恶意删除事件时，我们就应该依次单击“开始”/“设置”/“控制面板”命令，在弹出的系统控制面板窗口中双击“管理工具”图标，再在管理工具列表中双击“本地安全策略”选项，打开本地安全策略列表窗口；

在该列表窗口的左侧显示区域，依次展开“安全策略”/“审核策略”分支选项，在“审核策略”分支下面双击“审核账户管理”选项，打开如图1所示的选项设置对话框，选中“本地安全设置”标签，在对应的标签页面中选中“成功”或“失败”选项，再单击“确定”按钮，如此一来Windows Server 2008系统就会自动跟踪并记录添加或删除用户帐号事件了。

一旦对指定操作启用了审核功能后，Windows Server 2008系统就会在对应的日志文件中自动记录下相关的操作事件，例如以后只有有用户帐号被偷偷删除操作发生时，Windows Server 2008系统的日志文件中就会自动出现相应的记录文件。在查看这个具体的记录内容时，我们可以先打开Windows Server 2008系统的“开始”菜单，从中依次点选“设置”、“控制面板”、“系统和维护”、“管理工具”选项，在弹出的管理工具列表窗口中单击“事件查看器”图标，打开事件查看器控制台窗口，在该窗口的左侧显示区域展开“Windows日志”节点选项，我们从该选项下面会看到“系统”、“安全”、“应用程序”、“转发事件”、“安装程序”等不同类别的事件内容，用鼠标双击

某一类别下面的具体事件记录，就能打开对应事件记录的详细信息界面，在这里我们便可以了解到指定事件的来源、事件ID以及其他说明信息了。

不过，每次采用手工方法查看事件记录内容往往比较烦琐，而且网络管理员也很难在第一时间知道服务器系统中究竟发生了哪些重要的事件。为此，我们可以对某一特定的事件附加触发任务，当以后有相同的事件记录再次生成时，Windows Server 2008系统的触发器就能自动工作，来执行指定的任务计划，通过这个任务计划我们可以把当前发生的事件内容自动通知给网络管理员，网络管理员得到通知信息后，就能及时采取措施来解决服务器系统中存在的安全隐患了。

在创建新的触发任务时，我们先要从事件查看器窗口中找到具体的某一事件记录，例如用户帐号被删除的事件记录，然后用鼠标右键单击该记录选项，从弹出的快捷菜单中单击“将任务附加到此事件”命令，打开触发任务创建向导对话框，依照向导提示设置好新任务的名称信息，之后选中一个合适的触发方式，Windows Server 2008系统的触发器为用户提供了三种触发方式，它们分别为显示消息、发送电子邮件、启动应用程序，选择好某种触发方式后，再设置好具体的触发内容，最后单击“完成”按钮结束新触发任务的创建工作。