2

Можно ли получить электронное письмо, когда брандмауэр Windows регистрирует определенные события (например, принимается входящее соединение, например)?

|источник

1 ответ1

2

  1. Откройте брандмауэр Windows в режиме повышенной безопасности и нажмите « Свойства» под панелью « Действия» справа.

  2. Включите ведение журнала подключения для профиля (Домен / Частный / Общий), который вы хотите:

    1

  3. Откройте « Просмотр событий» и перейдите в Applications and Services Logs\Microsoft\Windows\Windows Firewall with Advanced Security .

  4. Здесь вы увидите четыре журнала: ConnectionSecurity, ConnectionSecurityVerbose, Firewall и FirewallVerbose. Чтобы включить журналы, помеченные как "подробные", в правой части панели « Действия» щелкните « Включить журнал» .

  5. Теперь подождите, пока некоторые события не будут зарегистрированы, затем в Event Viewer выберите интересующее вас событие Firewall и на панели Actions нажмите на Attach Task To This Event .

  6. Когда вы указываете Действие для задачи, вы можете выбрать Отправить по электронной почте:

    2

  7. Если вы дополнительно хотите получить полную информацию о событии, создайте простой пакетный файл, который использует wevtutil для фильтрации соответствующего журнала на основе EventID, например:

    wevtutil qe System "/q:*[System [(EventID=20274)]]" /f:text /rd:true /c:1 > D:\Attach.txt

  8. Наконец, откройте планировщик задач, найдите свою задачу в разделе « Task Scheduler Library\Event Viewer Tasks и измените ее, добавив в нее дополнительное действие для запуска пакетного файла перед отправкой электронного письма. Также измените действие электронной почты, включив в него текстовый файл, созданный wevtutil:

    3

Дополнительное чтение: настройка параметров ведения журнала для профиля брандмауэра. Также ознакомьтесь с этой статьей, если вас интересует отправка сведений о событиях по электронной почте без запуска отдельного пакетного файла (в основном путем редактирования XML-файла запланированной задачи и добавления запросов XPath для извлечения данных о событии).

Кроме того, имейте в виду, что планировщик заданий не поддерживает SMTP-аутентификацию, что глупо. Это означает, что если вы используете SMTP-сервер вашего интернет-провайдера или Microsoft/Google/Yahoo, например, вам не повезло, если вы не используете PowerShell или стороннюю почтовую программу, такую как Blat или SendEmail. Просто не забудьте создать действие « Запустить программу» вместо « Отправить по электронной почте» в этом случае.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .