Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eventlog Mailer

Mitglied: crazyhoesl

crazyhoesl (Level 1) - Jetzt verbinden

14.08.2007, aktualisiert 03.03.2008, 20870 Aufrufe, 9 Kommentare, 1 Danke

Hallo miteinander,

da mir in diesem Forum immer so wunderbar geholfen wird, dachte ich mir ich leiste auch Mal einen kleinen Beitrag. Und ich weiß das ich nicht der perfekte Batch-Coder bin, und "schöner Code" ist entspricht sicher nicht dem was ich hier anbiete, aber es funktioniert:

Windows hat ein nettes Tool an Board, was meiner Erfahrung nach gänzlich unbeachtet sein Dasein im System32 Ordner fristet: Eventtriggers.exe
Es scannt das Ereignisprotokoll auf vorgegebene Ereignisse und führt dann einen angegeben Befehl aus. Das sieht dann ca. so aus:

Also ein ziemlicher Rattensch-w-a-n-z. Benutzt man Eventtriggers täglich benötigt man meine Batch sicher nicht, aber für Admins die das ab und zu nutzen möchten ist es wohl recht hilfreich.

Um den BEFEHL so hinzubekommen, das mir eine E-Mail geschickt wird, bediene ich mich des kleinen Programmes BMail (17K). Bmail.exe herunterladen und in irgendein Verzeichnis speichern, am einfachsten "EventMailer" erstellen. Mehr über BMail gibt es übrigens hier: Seitenlink.

Nun folgenden Code kopieren und in eine .bat Datei im gleichen Verzeichnis wie die bmail.exe speichern, als z.B. EventMailer.bat nennen.

Zu Anfang kommt eine Abfrage ob eine E-Mail oder ein Befehl/Batch gestartet werden soll, wenn ein Ereignis auftritt. Wählt man Befehl/Batch, und dann Batch, öffnet sich automatisch notepad, und dort kann man seinen eigenen Code eingeben. Dieser muss dann noch unter %windir%system32em.bat gespeichert werden, und bei schliessen des Notepad-Fensters läuft die Batch weiter.

Natürlich kann man auch schon vorher sich eine em.bat speichern und notepad einfach schliessen.

Ein Beispiel zum Verständnis und auch gut zum Testen:
Startet man den Windows Live Messenger wird ein Eintrag in das Ereignisprotokoll geschrieben:
unter Anwendung im Ereignisprotokoll erscheint dann:
Also wir wollen das wenn der Messenger gestartet wird eine E-Mail versendet wird. Man startet die Batch und auf die erste Frage:
Was soll bei Auftreten des Eventlog-Eintrags geschehen? Antworten wir mit (1) Eine E-Mail soll verschickt werden.
Nun werden die verschiedenen Variablen abgefragt:
Name des Triggers: Kann frei gewählt werden
Ereignisart: in unserem Beispiel (1) Anwendung
Ereignistyp: Information
Quelle: wie oben beschrieben: ESENT
EreignisID: 102

Dann wird nochmal alles zusammengefasst angezeigt. Ist alles korrekt gehts mit Enter weiter:

Nun werden die Variablen für den E-Mail Versand abgefragt. Diese Angaben müsst Ihr selbst wissen

Auch diese Angaben werden nochmal zusammengefasst. Nach dem Ihr auf ENTER gedrückt habt wird der Eventtrigger erstellt.
Startet ihr nun den Live Messenger bekommt Ihr eine E-Mail zugesandt wenn alles richtig gemacht wurde!


Um euer Eventtrigger wieder zu deaktivieren gebt in der Kommandozeile einfach ein:
Damit werden alle Trigger gelöscht. Die Dateien bmail.exe und mail.cmd müsst ihr selbst noch aus dem System32 Ordner löschen.

Vielleicht kann das dem ein oder anderem von Euch ein bisschen das Leben erleichtern.

Ich freue mich jetzt schon auf eure Rückmeldungen, und ja ich weiß: ich bin nicht der tollste Batcher...


In diesem Sinne,

euer Crazyhoesl
Mitglied: Biber
14.08.2007 um 17:00 Uhr
Moin crazyhoesl,

erstmal vielen Dank für Dein Beispiel.
Da Du auch um konstruktive Kritik ersucht hast, gleich die Sachen, die mir so beim ersten Überfliegen aufgefallen sind.

Mögliche Verschlankungen:
1) Da Du ja die Variablen richtigerweise mit "setlocal" als "die Privat-Variablen genau dieses Batches" deklariert hast, kannst Du Dir unten am Ende das "Set Var=" schenken. Einfach löschen.

2) Du hast relativ häufig "gleichen" Code. Schreib den einmal, ruf ihn mehrfach auf. Macht es wartbarer.
Diesen Block kannst Du irgendwo im Code plazieren (oder "platzieren" nach der reformierten Rechtschreibreformreform) und mit "call :ShowDisplayHeader" aufrufen.
Macht es etwas übersichtlicher.

3) Vermeide, wegen der systemimmanenten Dussligkeit eines CMD-Interpreters so etwas:
Besser:
Begründung: Bei jedem "Goto"-Befehl sucht die CMD.exe wieder von oben, vom Beginn des Batches an diese Sprungmarke.
D.h. der Befehl oben "goto Kreuzung" hält ihn eigentlich nur auf.. *gg

Grüße
Biber
Bitte warten ..
Mitglied: Dani
31.10.2007 um 21:15 Uhr
Hi crazyhoesl,
vielen Dank für das Tutorial. Von diesem Tool habe ich noch nirgends gelesen bzw. gehört bis Vorgestern.
Wir werden demnächst das Ganze auf einigen Servern einsetzen. Und zwar dahin gehend, dass vom dem entsprechenden Event auch die Message in der E-Mail steht. Dazu habe ich ein VBScript - Schnipsel entworfen:
An hand diesem Script wird sichergestellt, dass immer nur das neuste Event ausgelesen wird.
Natürlich hat man die Möglichkeit, statt den EventCode auch folgende Attribute nehmen:
Category, Source Name, EventType, ComputerName, EventCode, RecordNumber, TimeWritten, User.
Das gleiche gilt natürlich für das Atttribut LogFile". Da gibt es folgende Alternativen:
Application, Security.

Die Message kann dann problemlos über eine Batchschleife ausgelesen und wenn gewünscht entsprechend verarbeitet werden (tokens, delims):
Grüße
Dani
Bitte warten ..
Mitglied: aschinnerl
02.12.2007 um 00:56 Uhr
Erstmal möchte ich danke für das super script sagen!

Ich habe vor das Script als Anmeldeüberwachung bei ein paar Server einzusetzen. Dh. ich möchte ein Mail erhalten wenn jemand versucht sich auf dem Server einzuloggen oder WENN jemand sich einloggt!

Das müsste mit diesem Tool doch ohne Probleme möglich sein oder?
Bitte warten ..
Mitglied: 6741
29.02.2008 um 15:09 Uhr
hallo,

kann mir eine eine einfache schleife für eine batch erstellen mit sendmail ....

Quelle: Security
Ereigniskennung: 564

Danke ....
Bitte warten ..
Mitglied: Dani
02.03.2008 um 12:53 Uhr
@aschinnerl
Das müsste mit diesem Tool doch ohne Probleme möglich sein oder?
Ist auf jeden Fall möglich....

@firewalldevil
ich habe es mit "bmail" gelöst:
Läuft bei uns auf einige hundert Servern.


Grüße
Dani
Bitte warten ..
Mitglied: 6741
02.03.2008 um 13:20 Uhr
hi dani ...

du läßt erst das vb scriot laufen und dann versendest du mit bmail ???

mich würde interessieren, wenn der eventtrigger ein secutiry feststellt mit id xxx dann versende die mail ...

das muss doch mit einer einfach batch möglich sein, oder benötige ich immer das o.g. script ...?

Der Healthmonitor läuft bei mir nicht richtig, bzw ich kann ihn wohl nicht richtig einstellen.

Habe mal überwachen auf eine Freigabe eingestellt und etwas löschen wollen, was verweigert ist, dann soll die Mail kommen die mir die Info sendet ... im Eventlog ist alles okay... zur id gibt es noch eine weitere Kennung ... ID 560 und dazu die Kenne das gelöscht worden ist ...

gruß
Bitte warten ..
Mitglied: Dani
02.03.2008 um 19:28 Uhr
Hi,
du hast glaube ich nur das Tutorial überfolgen. Denn die ID gibst du bereits hier an:
Bei mir war es ebenso, dass ich den Inhalt der ID auch wollte und in die Mail schreiben lassen habe. Dazu habe ich VBS gebraucht.
In deinem Fall würde die Batch reichen...Höchstens im Event stehen Daten, die gleich haben möchtest.

Wir machen demnächst einen Schritt weiter und lassen per Batch in unser Serververwaltung- & Managementdatenbank immer die Einträge machen.


Grüße
Dani
Bitte warten ..
Mitglied: 6741
03.03.2008 um 18:37 Uhr
Hi Dani ...

ja du hast Recht .... ich hahe es nur Überflogen und nach Erstellen der Batch ( super Tool ) verstehe ich auch die Zusammenhnge ... sorry .... wohl etwas überarbeitet ..

schade das der Healthmonitor mir keine Werte bzw kein Action zeigt ....

aber später mehr ..
Bitte warten ..
Mitglied: Tomiliy
24.02.2009 um 12:29 Uhr
Hallo dani
Super die Scripte hier. Echt klasse. Hab ich schon viel von gelernt und genutzt.

Da du dich ja anscheinend mit VB auskennst..
Wie mache ich das so, das diese Abfrage in regelmäßigen Abständen läuft, aber nicht wieder über "alte" Fehler stolpert.

Es wäre also gut, wenn das script erkennen könnte, OB es auf einem Event schonmal gemailt hat und das dann natürlich nicht wieder tut.

Danke!!
Thomas
Bitte warten ..
Ähnliche Inhalte
Windows Tools

EmoCheck: start per Powershell und Eventlog

Anleitung von BadgerWindows Tools9 Kommentare

Seit kurzem kann man mit dem Tool EmoCheck nach spezifischen Prozessen von Emotet Ausschau halten. Mehr Details dazu auf ...

Humor (lol)

Mail von Microsoft (angeblich)

Ticker von StefanKittelHumor (lol)5 Kommentare

Moin, diese "Perle" habe ich eben erhalten: Übersetzt:

Erkennung und -Abwehr

E-Mail Spamwelle: März 2018

Ticker von FrankErkennung und -Abwehr2 Kommentare

Aktuell gibt es eine etwas größer angelegte E-Mail Spamwelle. Diese wird über mehrere Server in England ( London), Ungarn ...

Erkennung und -Abwehr

Ransomware Mail für IT-Firmen

Erfahrungsbericht von runasserviceErkennung und -Abwehr25 Kommentare

Hallo, mehr als frech finde ich es, das jetzt dreist versucht wird, Ransomware Mails auch an IT-Firmen zu versenden. ...

E-Mail

Drei kritische Sicherheitslücken im Mail-Client Thunderbird

Ticker von FrankE-Mail2 Kommentare

Im Mail-Client Thunderbird gibt es bis einschließlich Version 52.4 drei kritische Sicherheitslücken. Dabei handelt es sich um CVE-2017-7826, CVE-2017-7828 ...

Sicherheit

E-Mail-Sicherheitscheck speichert IP Adressen 2 Jahre

Ticker von sabinesSicherheit

Die EU Kommission bietet einen E-Mail-Sicherheitscheck an, hierbei wird eine Mail an die eigene Mailadresse gesendet, darau geantwortet und ...

Heiß diskutierte Inhalte
Batch & Shell
Mehrere Server anpingen positive und negative Ergebnis in Datei schreiben
Frage von tommhiiBatch & Shell27 Kommentare

Hallo ich hab eine Frage ich habe in einer Liste mehrere Server eingetragen die ich per batch anpingen will. ...

Sonstige Systeme
Home Office Ortung IP via VPN und Citrix
Frage von ColdstormSonstige Systeme26 Kommentare

Hallo zusammen, ich habe eine allgemeine Frage. Ich arbeite für einen deutschen Automobilclub (fängt mit A an und mit ...

Schulung & Training
Präsentation mit Gestensteuerung (Schnipsen)
gelöst Frage von battalgaziSchulung & Training18 Kommentare

Hallo, ich habe vor kurzem an einer MLP Paresentation teilgenommen, der Dozent hat mit einem Schnipsen die Folien gesteuert. ...

Microsoft Office
Office 2010 Starter SetupConsumerC2ROLW.exe Datei
gelöst Frage von ITAzubi2Microsoft Office18 Kommentare

Moin moin, ich bin frischer IT Azubi und soll auf ein neues Notebook mit Win 10 Office 2010 Starter ...

JavaScript
Subtraktion in Javascript für ausfüllbares PDF
gelöst Frage von imebroJavaScript15 Kommentare

Hallo liebe User, ich habe ein Adobe PDF-Dokument in ein ausfüllbares PDF-Dokument umgewandelt. Grds. funktioniert alles sehr gut. Auch ...

Switche und Hubs
Aruba VSF-2930F DHCP Problem
Frage von fbe280tSwitche und Hubs14 Kommentare

Hallo Ihr da draußen, wir haben drei Aruba VSF-2930F zu einem virtuellen Switch zusammengefügt und haben dort mehrere V-Lans ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN