Wie kann ich E-Mails basierend auf bestimmten Windows-Firewall-Ereignissen empfangen?

Question

OffenWindows-Firewall mit erweiterter Sicherheitund klicken Sie aufEigenschaftenunter demAktionenBereich rechts.
Aktivieren Sie die Verbindungsprotokollierung für das gewünschte Profil (Domäne/Privat/Öffentlich):
OffenEreignisanzeigeund navigieren Sie zu Applications and Services Logs\Microsoft\Windows\Windows Firewall with Advanced Security.
Hier sehen Sie vier Protokolle: ConnectionSecurity, ConnectionSecurityVerbose, Firewall und FirewallVerbose. Um die als "verbose" gekennzeichneten Protokolle zu aktivieren, klicken Sie unter demAktionenKlicken Sie rechts aufProtokoll aktivieren.
Warten Sie nun, bis einige Ereignisse protokolliert wurden, undEreignisanzeigeWählen Sie das Firewall-Ereignis aus, das Sie interessiert, undAktionenKlicken Sie aufAufgabe diesem Ereignis anhängen.
Wenn Sie dieAktionfür die Aufgabe können Sie wählen,Eine E-Mail senden:
Wenn Sie zusätzlich die vollständigen Veranstaltungsdetails wünschen, erstellen Sie eine einfache Batchdatei, diewevtutilzum Filtern des entsprechenden Protokolls basierend aufEreignis-ID, etwa so:
```
wevtutil qe System "/q:*[System [(EventID=20274)]]" /f:text /rd:true /c:1 > D:\Attach.txt 
```
Öffnen Sie schließlichAufgabenplanung, suchen Sie Ihre Aufgabe unter Task Scheduler Library\Event Viewer Tasksund ändern Sie sie, um eine zusätzliche Aktion zum Ausführen der Batchdatei vor dem Senden der E-Mail einzuschließen. Ändern Sie auch die E-Mail-Aktion, um die vonwevtutilals Anlage:

Weiterführende Literatur:Anpassen der Protokollierungseinstellungen für ein Firewall-Profil. Siehe auchDieser Artikelwenn Sie Ereignisdetails per E-Mail versenden möchten, ohne eine separate Batchdatei auszuführen (im Wesentlichen durch Bearbeiten der XML der geplanten Aufgabe und Hinzufügen von XPath-Abfragen zum Abrufen der Ereignisdaten).

Beachten Sie außerdem, dass der Taskplaner keine SMTP-Authentifizierung unterstützt, was dumm ist. Das bedeutet, wenn Sie beispielsweise den SMTP-Server Ihres ISPs oder von Microsoft/Google/Yahoo verwenden, haben Sie Pech, es sei denn, Sie verwenden entwederPower Shelloder ein E-Mail-Programm eines Drittanbieters wieBlatoderE-Mail senden. Denken Sie daran, eineStarten Sie ein ProgrammAktion statt einerEine E-Mail sendenin diesem Fall eine.

Answer 1

OffenWindows-Firewall mit erweiterter Sicherheitund klicken Sie aufEigenschaftenunter demAktionenBereich rechts.
Aktivieren Sie die Verbindungsprotokollierung für das gewünschte Profil (Domäne/Privat/Öffentlich):
OffenEreignisanzeigeund navigieren Sie zu Applications and Services Logs\Microsoft\Windows\Windows Firewall with Advanced Security.
Hier sehen Sie vier Protokolle: ConnectionSecurity, ConnectionSecurityVerbose, Firewall und FirewallVerbose. Um die als "verbose" gekennzeichneten Protokolle zu aktivieren, klicken Sie unter demAktionenKlicken Sie rechts aufProtokoll aktivieren.
Warten Sie nun, bis einige Ereignisse protokolliert wurden, undEreignisanzeigeWählen Sie das Firewall-Ereignis aus, das Sie interessiert, undAktionenKlicken Sie aufAufgabe diesem Ereignis anhängen.
Wenn Sie dieAktionfür die Aufgabe können Sie wählen,Eine E-Mail senden:
Wenn Sie zusätzlich die vollständigen Veranstaltungsdetails wünschen, erstellen Sie eine einfache Batchdatei, diewevtutilzum Filtern des entsprechenden Protokolls basierend aufEreignis-ID, etwa so:
```
wevtutil qe System "/q:*[System [(EventID=20274)]]" /f:text /rd:true /c:1 > D:\Attach.txt 
```
Öffnen Sie schließlichAufgabenplanung, suchen Sie Ihre Aufgabe unter Task Scheduler Library\Event Viewer Tasksund ändern Sie sie, um eine zusätzliche Aktion zum Ausführen der Batchdatei vor dem Senden der E-Mail einzuschließen. Ändern Sie auch die E-Mail-Aktion, um die vonwevtutilals Anlage:

Weiterführende Literatur:Anpassen der Protokollierungseinstellungen für ein Firewall-Profil. Siehe auchDieser Artikelwenn Sie Ereignisdetails per E-Mail versenden möchten, ohne eine separate Batchdatei auszuführen (im Wesentlichen durch Bearbeiten der XML der geplanten Aufgabe und Hinzufügen von XPath-Abfragen zum Abrufen der Ereignisdaten).

Beachten Sie außerdem, dass der Taskplaner keine SMTP-Authentifizierung unterstützt, was dumm ist. Das bedeutet, wenn Sie beispielsweise den SMTP-Server Ihres ISPs oder von Microsoft/Google/Yahoo verwenden, haben Sie Pech, es sei denn, Sie verwenden entwederPower Shelloder ein E-Mail-Programm eines Drittanbieters wieBlatoderE-Mail senden. Denken Sie daran, eineStarten Sie ein ProgrammAktion statt einerEine E-Mail sendenin diesem Fall eine.

Wie kann ich E-Mails basierend auf bestimmten Windows-Firewall-Ereignissen empfangen?

Antwort1

verwandte Informationen