Jak mogę odbierać wiadomości e-mail na podstawie niektórych zdarzeń Zapory systemu Windows?

2

Czy możliwe jest otrzymywanie wiadomości e-mail, gdy Zapora systemu Windows rejestruje określone zdarzenia (na przykład akceptowane połączenie przychodzące)?

windows email windows-firewall event-log Karan
źródło
To pytanie zostało zadane niedawno, które było nieco szerokie, ponieważ obejmowało również wszystkie zapory innych firm. Zamiast zawęzić go tylko do Zapory systemu Windows, pytający postanowił go całkowicie usunąć, co było niefortunne. Ponieważ większość odpowiedzi już zapisałem, postanowiłem ją przedłożyć zamiast marnować wysiłek.
Karan

Odpowiedzi:

2

  1. Otwórz Zaporę systemu Windows z zabezpieczeniami zaawansowanymi i kliknij Właściwości w okienku Działania po prawej stronie.

  2. Włącz rejestrowanie połączeń dla profilu (Domena / Prywatny / Publiczny), który chcesz:

    1

  3. Otwórz Podgląd zdarzeń i przejdź do Applications and Services Logs\Microsoft\Windows\Windows Firewall with Advanced Security.

  4. Tutaj zobaczysz cztery dzienniki: ConnectionSecurity, ConnectionSecurityVerbose, Firewall i FirewallVerbose. Aby włączyć dzienniki oznaczone jako „pełne”, w okienku Działania kliknij prawym przyciskiem myszy opcję Włącz dziennik .

  5. Teraz poczekaj, aż niektóre zdarzenia zostaną zarejestrowane, a następnie w Podglądzie zdarzeń wybierz zdarzenie Firewall, które Cię interesuje, aw okienku Akcje kliknij opcję Dołącz zadanie do tego zdarzenia .

  6. Po określeniu akcji dla zadania możesz wybrać opcję wysłania wiadomości e-mail :

    2)

  7. Jeśli dodatkowo chcesz uzyskać pełne szczegóły zdarzenia, utwórz prosty plik wsadowy, który używa wevtutil do filtrowania odpowiedniego dziennika na podstawie identyfikatora zdarzenia , na przykład:

    wevtutil qe System "/q:*[System [(EventID=20274)]]" /f:text /rd:true /c:1 > D:\Attach.txt

  8. Na koniec otwórz Harmonogram zadań , zlokalizuj swoje zadanie pod Task Scheduler Library\Event Viewer Tasksi zmodyfikuj go, aby zawierał dodatkowe działanie w celu uruchomienia pliku wsadowego przed wysłaniem wiadomości e-mail. Zmodyfikuj również akcję e-mail, aby dołączyć plik tekstowy utworzony przez wevtutil jako załącznik:

    3)

Dodatkowa lektura: Dostosuj ustawienia rejestrowania dla profilu zapory . Przeczytaj także ten artykuł, jeśli interesują Cię szczegóły wydarzenia wysyłane pocztą e-mail bez uruchamiania osobnego pliku wsadowego (w zasadzie poprzez edycję kodu XML zaplanowanego zadania i dodanie zapytań XPath w celu pobrania danych zdarzenia).

Ponadto należy pamiętać, że Harmonogram zadań nie obsługuje uwierzytelniania SMTP, co jest głupie. Oznacza to, że jeśli na przykład używasz serwera SMTP usługodawcy internetowego lub Microsoft / Google / Yahoo, nie masz szczęścia, chyba że korzystasz z programu PowerShell lub programu pocztowego innej firmy, takiego jak Blat lub SendEmail . Pamiętaj tylko, aby w tym przypadku utworzyć akcję Uruchom program zamiast Wyślij wiadomość e-mail .

Karan
źródło