Direkt zum Inhalt

Systemereignisüberwachung in Take Command

Das Take Command Befehlsinterpreter (TCC) stellt einen Satz von 16 „Trigger“-Befehlen bereit, mit denen Sie Aktivitäten auf Ihrem Computer überwachen und Ihren Computer dazu veranlassen können, eine Aktion basierend auf im Computer auftretenden Änderungen durchzuführen. In diesem Tutorial erfahren Sie, wie Sie sie verwenden.

Überblick

TCC verfügt über 16 interne Befehle, mit denen Sie Ihr System in Echtzeit überwachen können. Diese Befehle sind:

  • BTMONITOR - Überwachen Sie Bluetooth-Verbindungen und führen Sie einen Befehl aus, wenn ein Gerät verbunden oder getrennt wird.
  • CLIPMONITOR - Überwachen Sie die Aktivität der Windows-Zwischenablage und einen Befehl ausführen, wenn die Zwischenablage geändert wird.
  • DATENMONITOR - Überwachen Sie das aktuelle Datum und die aktuelle Uhrzeit und führen Sie einen Befehl aus, wenn Datum und Uhrzeit übereinstimmen.
  • DEBUGMONITOR – Überwachen Sie die Windows OutputDebugString-API und führen Sie einen Befehl aus, wenn die API aufgerufen wird.
  • DISKMONITOR - Überwachen Sie die Festplattennutzung und führen Sie einen Befehl aus, wenn der freie Speicherplatz unter die angegebene Größe fällt.
  • EVENTMONITOR - Überwachen Sie das Windows-Ereignisprotokoll und führen Sie einen Befehl aus, wenn das Ereignis geschrieben wird.
  • FIREWIREMONITOR - Überwachen Sie FireWire-Verbindungen und einen Befehl ausführen, wenn ein Gerät angeschlossen oder getrennt wird
  • ORDNERMONITOR - Überwachen Sie die Erstellung, Änderung und Löschung von Ordnern und/oder Dateien.
  • SCHLOSSÜBERWACHUNG - Überwachen Sie das Sperren und Entsperren von Sitzungen und führen Sie einen Befehl aus.
  • NETMONITOR - Überwachen Sie Netzwerkverbindungen und führen Sie einen Befehl aus, wenn ein Netzwerk verbunden oder getrennt wird
  • POWERMONITOR - Überwachen Sie Änderungen der Systemleistung und führen Sie einen Befehl aus.
  • PROZESSMONITOR - Prozesse überwachen und einen Befehl ausführen, wenn ein Prozess gestartet oder beendet wird.
  • REGÜBERWACHUNG - Überwachen Sie Windows-Registrierungsschlüssel und führen Sie einen Befehl aus, wenn der Schlüssel erstellt, geändert oder gelöscht wird.
  • BILDSCHIRMMONITOR - Überwachen Sie den Windows-Bildschirmschoner und führen Sie einen Befehl aus, wenn der Bildschirmschoner aktiviert ist.
  • SERVICEMONITOR - Überwachen Sie Windows-Dienste und führen Sie einen Befehl aus, wenn ein Dienst gestartet, angehalten oder gestoppt wird.
  • USBMONITOR - Überwachen Sie USB-Verbindungen und führen Sie einen Befehl aus, wenn ein Gerät angeschlossen oder getrennt wird.

Mit diesen Befehlen können Sie ganz einfach die meisten Aktivitäten auf Ihrem Computer überwachen und Warnungen wie E-Mails verschicken oder Maßnahmen ergreifen, wie z. B. das Auslösen eines Batch-Prozesses, wenn ein überwachtes Ereignis auftritt.

Sie können bis zu 100 Überwachungsbefehle gleichzeitig ausführen Take Command Tab-Fenster. Die folgenden Beispiele zeigen, wie einfach es ist, Trigger einzurichten, und geben Ihnen eine Vorstellung davon, was Sie mit Triggern tun können.

Beispiel 1 – FOLDERMONITOR

Mit FOLDERMONITOR können Sie das Erstellen, Löschen, Umbenennen und Ändern von Verzeichnissen und Dateien überwachen. Angenommen, Sie möchten darauf achten, dass im Unterverzeichnis „d:\Results“ eine Datei mit dem Namen „FinalResult.htm“ erstellt wird, und diese dann kopieren es zu „http://mycompany.com/results/FinalResult.htm"

Der traditionelle Ansatz wäre, eine Skriptdatei zu erstellen, die ewig auf die Datei wartet:

(TCC Syntax) FINAL.CMD:

für immer tun

Wenn es dann „d:\results\FinalResult.htm“ gibt

kopieren Sie „d:\results\FinalResult.htm“ "http://mycompany.com/results/FinalResult.htm"

del FinalResult.htm

rem Warten Sie erneut auf die Datei

endiff

Verzögerung 10

beenden

Dadurch entsteht eine separate TCC Sitzung, was Speicher verschwendet und kontinuierlich eine geringe Menge an CPU-Zeit beansprucht.

In TCC Sie können dasselbe tun mit (in einer Zeile):

Ordnermonitor d:\results /i „FinalResult.htm“ für immer erstellt

(kopieren Sie „d:\results\FinalResult.htm“ "http://mycompany.com/results/FinalResult.htm"&

del d:\results\FinalResult.htm)

Folgendes passiert:

  1. Ordnermonitor d:\results – bewirkt, dass der Befehl das Unterverzeichnis d:\results überwacht
  2. /i“FinalResult.htm“ -- sagt, dass nur Dateien mit dem Namen FinalResult.htm in die Überwachung einbezogen (überwacht) werden sollen
  3. für immer geschaffen – bedeutet, dass wir nur nach neu erstellten Dateien suchen und dies in einer Endlosschleife tun, die für immer ausgeführt wird
  4. (kopieren Sie „d:\results\FinalResult.htm“ "http://mycompany.com/results/FinalResult.htm" & del d:\results \FinalResult.htm) – kopiert die neue Datei auf eine Website und löscht die Datei aus dem Verzeichnis d:\results, nachdem sie kopiert wurde. Sie könnten hier eine Batchdatei ausführen, anstatt wie wir es getan haben, eine Befehlsgruppe zu erstellen.

Dieser Befehl erstellt einen separaten Thread im aktuellen TCC Session.

FOLDERMONITOR erstellt außerdem vier Umgebungsvariablen, wenn eine Datei oder ein Ordner erstellt, gelöscht, geändert oder umbenannt wird, die mit dem Befehl abgefragt werden können. Die Variablen werden nach Ausführung des Befehls gelöscht.

  • _folderaction – Die Art der Änderung an der Datei oder dem Ordner. Die möglichen Werte sind:
    • ERSTELLT
    • GELÖSCHT
    • GEÄNDERT Dazu gehört das Ändern der Dateigröße, der Attribute oder des Datums-/Zeitstempels.
    • UMBENANNT
  • Ordnernamen – Der Name des überwachten Ordners
  • Ordnerdatei1 – Der Name der Datei oder des Ordners, die erstellt/gelöscht/geändert/umbenannt wurde. Wenn die Datei war umbenannt, Ordnerdatei1 ist der alte Name.
  • _folderfile2 – Wenn eine Datei umbenannt wurde, ist Ordnerdatei2 der neue Name

Wenn Sie auf mehrere Änderungen testen möchten, sollten Sie die Bedingungstests in einem einzigen FOLDERMONITOR-Befehl zusammenfassen. andernfalls erstellt FOLDERMONITOR für jeden Befehl einen Thread (was Ihren Speicher und Ihre CPU-Zeit verschwendet).

Der folgende Befehl wartet beispielsweise darauf, dass eine Datei im Verzeichnis d:\results erstellt oder geändert wird, und kopiert sie in das Webverzeichnis:

Ordnermonitor d:\Ergebnisse erstellt, für immer geändert (kopieren Sie „%_folderfile1“ "http://mycompany.com/results/")

Beispiel 2 – PROZESSMONITOR

PROCESSMONITOR überwacht Programmstarts und -ausgänge.

Wenn Sie beispielsweise per E-Mail benachrichtigt werden möchten, wenn eine bestimmte Anwendung beendet wird:

Processmonitor myapp* endete für immer (sendenmail Diese E-Mail-Adresse ist gegen Spambots geschützt. Sie müssen JavaScript aktivieren, damit Sie sie sehen können. myapp Myapp wurde gerade heruntergefahren!)

Folgendes passiert:

1. Prozessmonitor myapp* – sucht nach jedem Prozess, dessen Name mit „myapp“ beginnt.

2. endete für immer – bedeutet, dass wir nur nach Prozessen suchen, die (aus irgendeinem Grund) beendet wurden.

3. (sendenmail Diese E-Mail-Adresse ist gegen Spambots geschützt. Sie müssen JavaScript aktivieren, damit Sie sie sehen können. myapp Myapp wurde gerade heruntergefahren!) - erstellt und versendet eine E-Mail über das interne TCC Sendmail-Befehl an Diese E-Mail-Adresse ist gegen Spambots geschützt. Sie müssen JavaScript aktivieren, damit Sie sie sehen können. mit dem Betreff „myapp“ und dem Nachrichtentext „myapp wurde gerade heruntergefahren“

Dies ist wichtig, um sicherzustellen, dass wichtige Produktionsprozesse wie erwartet funktionieren.

Sie können Processmonitor auch verwenden, um zu überwachen, ob bestimmte Prozesse gestartet werden. Möglicherweise ist in Ihrem Unternehmen ein Virus entwischt, der einen bösartigen Prozess ausführt – nennen Sie ihn Malproc. Das folgende Skript sucht nach dem Prozess, der auf einem Computer ausgeführt wird, beendet ihn und sendet Ihnen eine E-Mail, in der angegeben wird, wo sich die Infektion befindet.

Processmonitor Malproc wurde für immer gestartet

(taskend /F malproc & sendmail Diese E-Mail-Adresse ist gegen Spambots geschützt. Sie müssen JavaScript aktivieren, damit Sie sie sehen können. malproc Ich habe malproc auf meinem Computer!)

Dieser Code führt Folgendes aus:

4. Prozessmonitor malproc – sucht nach jedem Prozess mit dem Namen malproc

5. begann für immer -- bedeutet, dass wir nur nach Prozessen suchen, die gerade erst begonnen haben (aus irgendeinem Grund)

6. (taskend /F malproc & sendmail Diese E-Mail-Adresse ist gegen Spambots geschützt. Sie müssen JavaScript aktivieren, damit Sie sie sehen können. malproc Ich habe malproc auf meinem Computer) - nutzt die TCC TASKEND-Befehl, um (/F) malproc zum sofortigen Beenden zu zwingen und dann eine E-Mail mithilfe des internen Befehls zu erstellen und zu senden TCC Sendmail-Befehl an Diese E-Mail-Adresse ist gegen Spambots geschützt. Sie müssen JavaScript aktivieren, damit Sie sie sehen können. mit dem Betreff „Malproc“ und dem Nachrichtentext „Ich habe Malproc auf meinem Computer“

Das TCC Trigger sind außergewöhnlich leistungsstarke und flexible Befehle, mit denen Sie Ihre Computer wie nie zuvor überwachen und verwalten können.