6.11. El Visor de eventos

El Visor de eventos de Windows Server 2008 es un complemento de Microsoft Management Console (MMC) que permite consultar y administrar de una forma potente y centralizada la información contenida en los múltiples registros de eventos (logs) de las aplicaciones y servicios de Windows.

El Visor de eventos resulta imprescindible para supervisar el funcionamiento del servidor y resolver cualquier incidencia.

Desde el Visor de eventos podremos realizar las siguientes tareas:

  • Consultar los eventos que se hayan producido.
  • Crear filtros para los eventos que más nos interesen y almacenarlos como vistas personalizadas que podemos volver a utilizar en cualquier momento.
  • Programar una tarea para que se ejecute en respuesta a una situación específica.
  • Establecer suscripciones a determinados eventos.

1

Para abrir el Visor de eventos, hacemos clic sobre el botón de Inicio y elegimos Herramientas administrativas > Visor de eventos.

Como en otras ocasiones, la ventana del Visor de eventos aparecerá dividida en tres paneles.

El panel de la izquierda aparece organizado a modo de árbol, donde nos encontramos diferentes categorías que podemos ir desplegando.

De momento, nos centraremos en la categoría Registros de Windows, que contiene una serie de subcategorías que, en su mayoría, resultarán familiares para los usuarios avanzados de otros sistemas de escritorio de Microsoft. En concreto, encontramos las siguientes:

  • Aplicación: Aquí anotan sus eventos las aplicaciones y los servicios que no forman parte del sistema
  • Seguridad: Incluye la información de los eventos relacionados con la seguridad del sistema.
  • Instalación: Donde se anotan la información de los eventos relativos a la configuración de roles y características.
  • Sistema: Contiene información relativa a los eventos del sistema y de sus componentes.
  • Eventos reenviados: Contiene información reenviada por otros sistemas de la red.

2

Aunque nosotros, de momento nos centraremos en Aplicación, Seguridad y Sistema.

Así, por ejemplo, si queremos ver los eventos del sistema relacionados con la Seguridad, hacemos clic en dicha categoría.

3

… Y podemos comprobar, por ejemplo, cuándo un usuario ha cometido un error al autenticarse.

La información sobre cada evento incluye su origen, un identificador (diferente para cada tipo de evento), la fecha y la hora en la que se produjo, el equipo en el que se ha producido, etc. Además, podremos encontrar un enlace, que nos llevará a una página web de Microsoft con más información sobre el tipo de evento.

Podremos utilizar el identificador para localizar rápidamente todos los eventos del mismo tipo.

Consultar los eventos que se hayan producido

Cuando recurrimos al Visor de eventos, es muy frecuente que estemos buscando un determinado tipo de evento que, a su vez, está relacionado con un problema en concreto.

Una de las principales ventajas del Visor de eventos es que nos permite filtrar eventos específicos, de manera independiente a la categoría concreta a la que pertenezcan. De esta forma, podremos ver todos los eventos relacionados con la situación que estamos investigando. Para conseguirlo, procederemos de la siguiente forma:

1

Para comenzar, hacemos clic sobre el enlace Crear vista personalizada

Aparecerá una ventana donde debemos definir el tipo de evento que estamos buscando.

Lo primero será indicar el periodo de tiempo en el que queremos centrar la búsqueda. Para lograrlo, disponemos de una lista desplegable.

El último elemento de la lista nos permite establecer un Intervalo personalizado. Es decir, podremos fijar la fecha y hora en la que comienza y en la que acaba el intervalo de tiempo en el que queremos centrarnos.

2

En nuestro ejemplo, nos limitaremos a los Últimos 30 días.

Debajo del intervalo, incluiremos el Nivel del evento. Aquí indicaremos si buscamos eventos críticos, de advertencia, etc. Si lo dejamos en blanco, serán tenidos en cuenta todos.

A continuación, indicaremos si buscamos eventos en función del registro en el que se encuentran o según su origen.

Si elegimos Por registro, podremos señalar a qué subcategoría pertenecen los eventos, dentro de las categorías Registros de Windows y Registros de aplicaciones y servicios.

3

Por ejemplo, podríamos todos los eventos relacionados con la subcategoría Seguridad.

Si elegimos Por origen, podemos especificar qué parte del sistema ha ocasionado el evento (por ejemplo, el spooler de impresión).

Al elegir el origen, se asigna de forma automática el valor adecuado en la subcategoría Por registro, sustituyendo a la que pudiéramos haber elegido en el punto anterior.

4

Para este caso, elegiremos Microsoft Windows security auditing.

En el siguiente cuadro de texto, podemos restringir los identificadores que serán tenidos en cuenta para la vista. Para conseguirlo, tenemos varias opciones:

  • Si necesitamos un único identificador, escribimos su número (por ejemplo: 4625).
  • Si queremos incluir varios identificadores, los separamos por comas (por ejemplo: 4624, 4625).
  • Para incluir un rango, escribimos el primero y el último de los repositorios que necesitamos incluir, separados por un guión (por ejemplo: 4650-4655).
  • También podemos incluir todo lo anterior, escribiendo identificadores individuales o rangos separados por comas (por ejemplo: 4698, 4700-4702, 4650-4655).
  • Incluso podemos eliminar un identificador en particular, de un rango dado, precediéndolo de un signo menos (Por ejemplo: 4698-4702, -4699).

5

En nuestro ejemplo, nos limitaremos al identificador 4625.

Debajo del filtro para los identificadores de eventos, podremos filtrar por una o varias categorías de tareas. Para conseguirlo, sólo tendremos que desplegar la lista Categoría de la tarea y seleccionar las que deseemos.

6

Nosotros nos inclinaremos por la categoría Inicio de sesión.

Otro aspecto que podemos utilizar en nuestra vista personalizada es el filtro por Palabras clave. De nuevo, podremos marcar las casillas que hay junto a las palabras de la lista desplegable que queramos utilizar.

7

En este caso, haremos clic sobre la casilla correspondiente a Error de auditoría.

Para terminar, podemos mostrar sólo los eventos que hagan referencia a usuarios o equipos en particular. Si necesitamos indicar varios elementos, deberemos separarlos con comas.

8

Cuando estemos listos, haremos clic sobre el botón Aceptar.

En ese momento, aparecerá la ventana Guardar filtro en vista personalizada. En la parte superior escribiremos un nombre (en este caso, Errores de inicio) y una Descripción (que podemos dejar en blanco).

Debajo, indicaremos el lugar donde queremos guardar la vista personalizada. Podemos elegir la entrada Vistas personalizadas, del panel izquierdo del Visor de eventos, o cualquiera de sus subcarpetas. Incluso podemos crear una nueva subcarpeta usando el botón Nueva Carpeta.

También podemos indicar si queremos que la vista personalizada que estamos creando esté disponible para Todos los usuarios o sólo para el usuario que estamos utilizando en este momento.

9

Cuando hayamos terminado, hacemos clic sobre el botón Aceptar.

Como cabe esperar, una vez terminada la tarea, encontraremos la vista personalizada en el panel izquierdo del Visor de eventos.

10

Al elegir la vista, obtendremos, en el panel central, todos los eventos relacionados con dicha vista.

Si dejamos en blanco el cuadro de texto de una propiedad, estaremos indicando que se muestren todos los elementos para dicha propiedad.

Reutilizar filtros personalizados

Una vez creada la Vista personalizada, para volver a utilizarla en el mismo equipo sólo tenemos que buscarla en el panel de la izquierda.

1

Haremos clic sobre su nombre.

En el panel central volverán a aparecer los eventos filtrados por la Vista personalizada. Sin embargo, hay que tener en cuenta que la lista de sucesos se mantiene actualizada. Es decir, si se ha producido algún nuevo evento de este tipo desde la última vez que se consultó, este también aparecerá recogido en la lista.

2

Como pude verse en la imagen, hay un nuevo evento en la parte superior de la lista.

Una vez que hemos creado una Vista personalizada, podemos guardarla en un archivo externo para utilizarla en otro sistema (o usarla a modo de copia de seguridad en el sistema actual).

3

Para lograrlo, haremos clic sobre el enlace Exportar vista personalizada en el panel derecho.

Al hacerlo, aparecerá una ventana del tipo Guardar como. De forma predeterminada, el archivo de guarda en formato XML.

4

Sólo tenemos que elegir el destino, el nombre y hacer clic sobre el botón Guardar.

Si deseamos utilizar el archivo en otro equipo, sólo tendremos que elegir alguna ubicación de un volumen extraible (por ejemplo, una memoria USB).

5

Podemos comprobar que se ha guardado correctamente abriendo el Explorador de archivos y desplazándonos hasta la carpeta de destino.

Más tarde, cuando necesitemos restaurar el archivo anterior, sólo tenemos que hacer clic sobre el enlace Importar vista personalizada que hay en el panel derecho.

6

Como hemos dicho antes, esta operación la podemos hacer en un equipo diferente, para reutilizar la Vista personalizada.

Cuando aparezca la ventana Importar vista personalizada, la utilizaremos para localizar la ubicación del archivo exportado.

7

Cuando lo localicemos, haremos clic sobre él y a continuación sobre el botón Abrir.

En ese momento, se abrirá la ventana Importar archivo de vista personalizada (que es idéntica a la ventana Guardar filtro en vista personalizada, que vimos en el apartado anterior). Como antes, en la parte superior escribiremos un nombre y una Descripción.

Y de nuevo, en la parte inferior, indicaremos el lugar donde queremos guardar la vista personalizada e indicaremos si queremos que la Vista personalizada esté disponible para Todos los usuarios o sólo para el usuario que estamos utilizando en este momento.

8

Cuando estemos listos, haremos clic sobre el botón Aceptar.

De esta forma, volveremos a tener la Vista personalizada lista para usar.

Programar una tarea para que se ejecute con un evento específico

En Windows Server 2008, el Visor de eventos se integra perfectamente con el Programador de tareas. De esta forma, podemos asociar una tarea programada a un evento que cumpla unos criterios en particular. Así, cada vez que se produzca dicho evento, se ejecutará la tarea correspondiente.

No todos los eventos admiten este tipo de tratamiento, pero sí la mayoría.

Para conseguirlo, comenzaremos por abrir el Visor de eventos (Inicio > Herramientas administrativas > Visor de eventos) y localizar un evento del tipo al que queramos asociarle la tarea programada. En nuestro caso utilizaremos los eventos filtrados por la Vista personalizada.

1

A continuación, hacemos clic sobre cualquiera de ellos con el botón derecho del ratón y, en el menú de contexto, elegimos Adjuntar tareas a este evento

Se abrirá el Asistente para crear una tarea básica. Como puedes apreciar, la ventana del asistente es prácticamente idéntica a la que aparecía en el Programador de tareas.

En este caso, el Nombre de la tarea aparece predefinido, con la información del evento del que hemos partido. Sin embargo, si queremos podemos cambiarlo. También disponemos de un cuadro de texto para la Descripción, que podemos rellenar, o no, según nuestro criterio.

2

Si no queremos hacer modificaciones, podemos limitarnos a hacer clic sobre el botón Siguiente.

En la programación de una tarea normal, el siguiente paso correspondería al Desencadenador. Sin embargo, en este caso, al tratarse de un evento, ya se encuentra definido y lo único que podemos hacer es comprobar que todo es correcto.

3

Si estamos de acuerdo, hacemos clic sobre el botón Siguiente.

El siguiente paso corresponde a la Acción y también es prácticamente idéntico al del Programador de tareas. En el caso que nos ocupa, nos decantaremos por enviar un correo electrónico al Administrador cuando se produzca un evento de este tipo.

4

Elegimos la opción correspondiente y hacemos clic sobre el botón Siguiente.

A continuación, deberemos rellenar los datos típicos de un mensaje de correo electrónico (incluso podremos incluir datos adjuntos).

5

Cuando hayamos terminado, haremos clic sobre el botón Siguiente.

Con esto, habremos terminado la definición de la tarea programada. En el último paso, sólo queda comprobar que los datos son correctos. Como siempre, tendremos la opción de utilizar el botón Atrás para corregir cualquier aspecto de la tarea.

Como en el asistente para Crear tareas básicas que vimos en el apartado de Tareas programadas, aquí también disponemos de una casilla de verificación que permite Abrir el diálogo Propiedades para esta tarea. De esta forma, podremos ajustar más detalladamente, los parámetros que acabamos de introducir.

6

Por último, hacemos clic sobre el botón Finalizar.

Si todo es correcto, aparecerá una ventana informativa que nos indica que la tarea se ha creado correctamente y que podemos modificarla en cualquier momento desde el Programador de tareas.

7

Haremos clic sobre el botón Aceptar.

De esta forma, cada vez que se produzca un evento 4625, el administrador recibirá un correo electrónico informándolo.

Relación de eventos de seguridad en Windows Server 2008

Puedes encontrar una relación completa de los eventos de seguridad en Windows Server 2008 (que también son válidos para otras versiones, como Windows Vista o 7) en la siguiente dirección: http://support.microsoft.com/default.aspx?scid=kb;EN-US;947226


Anterior

Contenido

Siguiente