En este Post, veremos como crear un tarea según un evento determinado. Mas precisamente al de bloqueo de cuentas. En sintesis se automatizara un envio del mail a los administradores cuando una cuenta se bloquie, dicho mail contendra, la cuenta bloqueada y la IP, nomrbe e pc desde la que se bloquio la cuenta. Dicho Script sirve para cualquier Event ID, solo deberia cambiarse la consulta por el ID respectivo.

El primer paso es crear un attached task en el Event viewer

  1. Abrir Event Viewer
  2. Buscar el evento al que queremos crear una tarea
  3. Boton derecho y Click en “Attach Task To This Event…”
  4. Ponemos  “Create Basic Task Wizard”

Otra opcion es desde el Task Scheduler, crear una tarea y ahi definiriamos el evento.

Para mas informacion sobre esto: http://www.windowsecurity.com/articles/Attaching-Tasks-Event-Viewer-Logs-Events.html

 

Seleccionar start a program:

En esta ventana poner Program: Powershell

En aadd arguments: “-noexit -command “C:\Scripts\send_id.ps1″”

–Obviamente que aca deberan poner la ruta dodne vana  guardar el script. Ps1 es la extension de un powershell

———————-

Creacion de Script – Guardardarlo en la ruta especificada en la ruta anterior con la extension ps1.

 

Para esto abrimos un notepad, pegamos el siguiente texto y reemplazamos los campos en negrita:

——————–

$Event=get-eventlog -log security | where {$_.eventID -eq 4740} | Sort-Object index -Descending | select -first 1

$emailFrom = “morettimaxi@ gmail.com
$emailTo = “morettimaxi@ gmail.com
$subject = “Se ha bloqueado una cuenta – Morettimaxi.com.ar”
$body = $Event.message
$smtpServer = “TUsmtp.com”
$smtp = new-object Net.Mail.SmtpClient($smtpServer)
$smtp.Send($emailFrom, $emailTo, $subject, $body)

——————————

La primer linea:

$Event=get-eventlog -log security | where {$_.eventID -eq 4740} | Sort-Object index -Descending | select -first 1

Trae la información del evento, la que leugo te enviara por mail.

—————

Deberia llegarte un mail asi:

————————–

A user account was locked out.

Subject:
Security ID:            S-1-5-18
Account Name:           DC-SERVER$
Account Domain:         Morettimaxi.local
Logon ID:               0x3e7

Account That Was Locked Out:
Security ID:            S-1-5-21-3581412043-40327537899-951964907-1545
Account Name:           test_account

Additional Information:
Caller Computer Name:   IT-MMORETTI

 

 

 

Anuncios