用好Windows Server 2008系統觸發器

建立新的觸發任務

Windows Server 2008系統事件日誌功能記錄了伺服器系統中發生的各種重要事情，比方說網路訪問、系統登入、程式運行、資源調用等，記錄的事件內容主要包括事件描述、事件來源、事件類型等。仔細分析這些事件內容，網路系統管理員既能瞭解伺服器系統的運行狀態，又能對暗藏在系統中的威脅進行及時處理，保證伺服器系統的運行安全性。不過，網路系統管理員必須每次主動查看事件記錄，才能瞭解到伺服器系統中發生了什麼事情；如果伺服器系統中發生了重要事情時，能否讓Windows Server 2008系統自動彈出提示提醒網路系統管理員呢？答案是肯定的！我們可以利用Windows Server 2008系統的觸發器功能，來讓伺服器自動地提醒網路系統管理員發生了哪些重要事件，而不需要每次採用手工方式查看系統記錄檔。

建立新的觸發任務

Windows Server 2008系統的觸發任務是基於特定事件建立的，我們首先需要讓系統能對某個故障現象進行記錄並產生一個事件，然後通過該系統新增加的附加任務功能，將指定的觸發任務附加到目標事件中，日後一旦相同的事件發生時，指定的觸發任務就能自動運行，來通知網路系統管理員當前伺服器系統中發生了哪些重要的事情。

在預設狀態下，Windows Server 2008系統不會對某個故障現象進行自動記錄，我們必須對具體的故障現象進行審核，那樣一來Windows Server 2008系統的事件檢視器才能對具體的故障現象進行追蹤記錄。例如，要想讓Windows Server 2008系統的事件檢視器自動記憶使用者帳號被惡意刪除事件時，我們就應該依次單擊“開始”/“設定”/“控制台”命令，在彈出的系統控制台視窗中雙擊“管理工具”表徵圖，再在管理工具列表中雙擊“本地安全性原則”選項，開啟本地安全性原則列表視窗；

在該列表視窗的左側顯示地區，依次展開“安全性原則”/“稽核原則”分支選項，在“稽核原則”分支下面雙擊“審核賬戶管理”選項，開啟如圖1所示的選項設定對話方塊，選中“本地安全設定”標籤，在對應的標籤頁面中選中“成功”或“失敗”選項，再單擊“確定”按鈕，如此一來Windows Server 2008系統就會自動跟蹤並記錄添加或刪除使用者帳號事件了。

一旦對指定操作啟用了審核功能後，Windows Server 2008系統就會在對應的記錄檔中自動記錄下相關的操作事件，例如以後只有有使用者帳號被偷偷刪除操作發生時，Windows Server 2008系統的記錄檔中就會自動出現相應的記錄檔案。在查看這個具體的記錄內容時，我們可以先開啟Windows Server 2008系統的“開始”菜單，從中依次點選“設定”、“控制台”、“系統和維護”、“管理工具”選項，在彈出的管理工具列表視窗中單擊“事件檢視器”表徵圖，開啟事件檢視器控制台視窗，在該視窗的左側顯示地區展開“Windows日誌”節點選項，我們從該選項下面會看到“系統”、“安全”、“應用程式”、“轉寄事件”、“安裝程式”等不同類別的事件內容，用滑鼠雙擊

某一類別下面的具體事件記錄，就能開啟對應事件記錄的詳細資料介面，在這裡我們便可以瞭解到指定事件的來源、事件ID以及其他說明資訊了。

不過，每次採用手工方法查看事件記錄內容往往比較煩瑣，而且網路系統管理員也很難在第一時間知道伺服器系統中究竟發生了哪些重要的事件。為此，我們可以對某一特定的事件附加觸發任務，當以後有相同的事件記錄再次產生時，Windows Server 2008系統的觸發器就能自動工作，來執行指定的任務計劃，通過這個任務計劃我們可以把當前發生的事件內容自動通知給網路系統管理員，網路系統管理員得到通知資訊後，就能及時採取措施來解決伺服器系統中存在的安全隱患了。

在建立新的觸發任務時，我們先要從事件檢視器視窗中找到具體的某一事件記錄，例如使用者帳號被刪除的事件記錄，然後用滑鼠右鍵單擊該記錄選項，從彈出的捷徑功能表中單擊“將任務附加到此事件”命令，開啟觸發任務建立嚮導對話方塊，依照嚮導提示設定好新任務的名稱資訊，之後選中一個合適的觸發方式，Windows Server 2008系統的觸發器為使用者提供了三種觸發方式，它們分別為顯示訊息、寄送電子郵件、啟動應用程式，選擇好某種觸發方式後，再設定好具體的觸發內容，最後單擊“完成”按鈕結束新觸發任務的建立工作。

管理已有觸發任務

建立成功的各個觸發任務會自動出現在Windows Server 2008系統的任務計劃列表中，進入任務計劃列表視窗，我們就可以對已有觸發任務進行隨心所欲地管理、設定了。在管理已有觸發任務時，我們可以按照如下步驟進行操作：

首先以系統管理員許可權登入進入Windows Server 2008系統，依次單擊該系統案頭中的“開始”/“程式”/“附件”/“系統工具”/“工作排程器”命令，開啟對應系統的任務計劃列表視窗；

其次在該列表視窗的左側顯示地區，用滑鼠逐一展開“工作排程器庫”/“Microsoft”/“事件檢視器任務”分支選項，在對應“事件檢視器任務”分支選項的中間顯示地區，我們會看到Windows Server 2008系統中所有已經建立成功的觸發任務。

在這裡我們可以對每一個觸發任務的各種參數進行修改，例如要修改某個任務計劃的觸發方式時，我們只要用滑鼠右鍵單擊具體的觸發任務，從彈出的如圖2所示右鍵菜單中執行“屬性”命令，開啟目標觸發任務的屬性設定視窗。

在該設定視窗的“常規”標籤頁面中，我們可以指定目標觸發任務的運行選項，例如是否在登入系統時運行目標觸發任務，還是不管使用者是否登入都要運行等，對於一些特殊的觸發任務，我們有時需要在這裡選中“使用最高許可權運行”選項，確保目標觸發任務中既定的操作能夠順利地在Windows Server 2008系統中被成功執行。

在“觸發器”標籤頁面中，我們可以通過單擊“建立”按鈕，來重新建立一個新的觸發器任務，通過單擊“編輯”按鈕來對當前選定的觸發器進行一些進階設定，例如可以指定目標觸發任務的延遲任務時間、重複任務間隔、到期日期等參數，通過單擊“刪除”按鈕來將一些不需要的觸發任務從Windows Server 2008系統中刪除掉。

在“操作”標籤頁面中，我們可以查看到目標觸發任務正在使用的觸發方式是什麼，如果需要調整使用新的觸發方式時，可以先選中當前正在使用的觸發方式，並單擊“刪除”按鈕將目標觸發方式刪除掉，之後單擊“建立”按鈕來建立一個新的觸發方式。此外，我們還能單擊這裡的“編輯”按鈕，來修改當前正在使用的觸發方式的一些觸發參數，例如修改觸發標題、觸發內容，選用不同的觸發程式等。

在“條件”標籤頁面中，我們可以指定用於與觸發器一起判斷是否應運行該任務的條件，要是在這裡設定的條件不是真，那麼目標觸發任務將不會被自動執行。例如，我們可以設定在本機電腦處於空閑狀態多長時間後就能自動運行當前觸發任務，也可以設定只有本機電腦在使用交流電源時才啟動運行當前觸發任務，甚至還能設定在指定網路連接有效時才能啟動運行目標觸發任務（如圖3所示）。

在“設定”標籤頁面中，我們可以指定影響目標觸發任務的一些其他設定參數。例如，我們可以設定在目標任務觸發失敗後，過多長時間重新啟動運行目標觸發任務；也可以指定目標觸發任務已耗用時間超過多長時間時，自動停止運行任務