Используя Powershell, инициируйте действие, если новое событие Event Log составляет более чем один старый час
Можно поднять отладку, чтобы видеть, не отвечает ли это непосредственно вопрос. Однако я подозревал бы, что полномочия на Вашем зональном файле не позволяют связывать пользователю читать файл.
Я определяю все свои опции входа в named.logging.conf и затем использую включение в основной файл:
logging {
channel default_syslog {
// Send most of the named messages to syslog.
syslog local2;
severity debug;
};
channel audit_log {
// Send the security related messages to a separate file.
file "/var/named/system/named.log";
severity debug;
print-time yes;
};
channel null {
null;
};
category default { default_syslog; };
category general { default_syslog; };
category security { audit_log; default_syslog; };
category config { default_syslog; };
category resolver { audit_log; };
category xfer-in { audit_log; };
category xfer-out { audit_log; };
category notify { audit_log; };
category client { audit_log; };
category network { audit_log; };
category update { audit_log; };
category queries { audit_log; };
category lame-servers { null; };
};
и затем в named.conf:
root@dnsm02:/etc/bind# grep logging named.conf
include "/etc/bind/named.logging.conf";
Кроме того, Вы не упоминаете представления, но если у Вас есть какие-либо определенные представления, затем все Ваши зоны должны быть в определенных представлениях.
$Event = Get-EventLog Application | ? { $_.Source -EQ 'BackupSoftware' } | Sort Time | Select -Last 1
If($Event.Time -LT (Get-Date).AddHours(-1))
{
Do-Stuff
}
Это найдет самое последнее событие в журнале приложений с источником «BackupSoftware».
$Event = Get-EventLog BackupSoftware | Sort Time | Select -Last 1
If($Event.Time -LT (Get-Date).AddHours(-1))
{
Do-Stuff
}
Это найдет самое последнее событие в пользовательском журнале с именем BackupSoftware независимо от источника или EventId .
В обоих случаях сценарий выполнит Do-Stuff , если событие прошло более часа.