检查系统日志是网络管理员的一项日常工作。通常情况下，大家都是打开事件查看器来发现其中可疑的事件。但使用事件查看器有个缺点，就是不能实时跟踪发生的可疑事件。有没有什么好方法让某个事件发生后自动通知管理员呢?
　　
　　在 Server 2003中就提供了这样一个好工具——Eventtriggers（事件触发器），它可以监视系统事件并做出预定的反应，这样我们就可以即时跟踪感兴趣的事件并做出反应。
　　
　　该命令可以在本地或远程计算机上显示和配置事件触发器，它包括三个子命令：
　　
　　Eventtriggers create，用于创建事件触发器；
　　Eventtriggers delete，用于删除已创建的事件触发器；
　　Eventtriggers query，用于查询和显示系统的事件触发器属性和设置。
　　
　　我们主要应用其中的Eventtriggers create子命令。下面就以域用户登录 Server 2003域失败时自动给管理员报警来说明这个命令的具体使用。可以按照下面的步骤来完成上面的设想。
　　
　　进入“域控制器策略”管理界面，启用审核策略中“审核登录事件”的失败审核。
　　
　　创建一条事件触发器，命令如下：
　　
　　Eventtriggers /create /tr alert1 /l security /eid 529 /tk f:\zhz\alert1.bat
　　
　　当输入此命令后会提示你输入管理员的密码，以执行事件触发器。其中f:\zhz\alert1.bat是一个批处理文件，里面包含一条命令，即向管理员报警：
　　
　　net send cc6 “有账户登录失败，请继续关注，以防黑客!”
　　
　　这样就创建了一个名为alert1的事件触发器，只要在事件查看器的日志中有ID为529的失败审核出现，那么它就会向管理员所在的机器发送一条报警信息（如图），管理员收到消息后就可以去事件日志中查找此事件更详细的描述，在529事件中，记录了登录的用户名及登录者的IP等信息，你可以从中发现哪些是正常的失败登录（比如域用户登录时密码输入错误），更重要的是发现那些可疑的登录尝试，比如对管理员账户的登录尝试。
　　
　　注意：事件触发器并不会随关机或重新启动而消失，它会一直存在，除非你用Eventtriggers delete命令删除。
　　
　　上面举了一个简单的例子，你还可以把Eventtriggers命令扩展到其他局域网的管理应用上，让更多的管理工作实现自动化，另外，除了Windows Server 2003外，Windows XP系统也支持这个命令。
--------------------next---------------------