Usar el visor de eventos en Windows 11
Ya hemos aprendido a configurar las Directivas de seguridad local para Auditar los intentos de inicio de sesión en Windows 11. Sin embargo, no nos sirve de nada que el sistema tome nota de los intentos de acceso que no han tenido éxito, si después nosotros no consultamos el Registro de eventos del sistema para comprobar si dichos intentos se han producido.
Ese es el motivo por el que hoy te vamos a explicar cómo utilizar el Visor de eventos y cómo crear vistas personalizadas que te permitan comprobar, rápidamente, cuándo se ha producido un determinado evento.
Comenzaremos por hacer clic sobre el botón Inicio en la Barra de tareas.
A continuación, cuando aparezca el menú Inicio, hacemos clic sobre el botón Todas las aplicaciones.
Esto hará que cambie el contenido de la ventana, para mostrar las aplicaciones ordenadas alfabéticamente. En nuestro caso, nos interesa la opción Herramientas de Windows, por lo que nos desplazamos hacia abajo hasta encontrarla.
Una vez localizada, hacemos clic sobre ella.
Así conseguimos que se abra una ventana que muestra diferentes herramientas del sistema. De nuevo aparecen ordenadas alfabéticamente, por lo que será sencillo localizar la que nos interesa: Panel de control.
Hacemos doble clic sobre Panel de control.
Como vemos, el Panel de control es una interfaz gráfica que nos facilita la consulta y modificación de los ajustes más importantes del sistema operativo.
En concreto, nosotros necesitamos acceder hoy a las opciones de Sistema y seguridad.
Hacemos clic sobre Sistema y seguridad.
Cuando se muestren las diferentes opciones de la categoría, nos desplazamos hasta el final de la lista.
… Y, en la categoría Herramientas de Windows hacemos clic sobre el enlace Ver registros de eventos.
Si lo prefieres, puedes abrir directamente la ventana Visor de eventos (sin pasar por el Panel de control) ejecutando la orden eventvwr.exe o eventvwr.msc, tal y como te explicábamos en el artículo Comandos para realizar tareas administrativas en Windows 8.1 (que es completamente válido para Windows 11).
Con la combinación de teclas Windows + R obtenemos la ventana Ejecutar.
Independientemente del modo en que lo hagamos, al final obtendremos una ventana titulada Visor de eventos, que aparece dividida en tres paneles.
El panel de la izquierda aparece organizado a modo de árbol, donde nos encontramos diferentes categorías que podemos ir desplegando.
Para el artículo de hoy, nos centraremos en la categoría Registros de Windows.
Dentro de ella, nos interesan los eventos del sistema relacionados con la Seguridad, hacemos clic en dicha categoría.
Haciendo clic sobre cualquier evento, obtenemos información sobre él.
Entre la información que obtenemos de cada evento encontramos su origen, un identificador (diferente para cada tipo de evento), la fecha y la hora en la que se produjo, el equipo en el que se ha producido, etc. Además, podremos encontrar un enlace, que nos llevará a una página web de Microsoft con más información sobre el tipo de evento.
Podremos utilizar el identificador para localizar rápidamente todos los eventos del mismo tipo.
Consultar los eventos que se hayan producido de determinado un tipo
Cuando recurrimos al Visor de eventos, es muy frecuente que estemos buscando un determinado tipo de evento que, a su vez, está relacionado con un problema en concreto.
Una de las principales ventajas del Visor de eventos es que nos permite filtrar eventos específicos, de manera independiente a la categoría concreta a la que pertenezcan.
De esta forma, podremos ver todos los eventos relacionados con la situación que estamos investigando. En nuestro caso particular, buscamos intentos de autenticación que no han tenido éxito. Para lograrlo, será muy útil saber que el identificador de este tipo de eventos es el 4625.
Para conseguirlo, nos aseguramos de tener seleccionada la entrada Visor de eventos (local), en el panel izquierdo de la ventana.
Dispones de una lista de eventos importantes en el siguiente enlace: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor.
Son para Windows Server, pero puedes aplicarlos perfectamente a las versiones de escritorio.
Y hacemos clic sobre el enlace Crear vista personalizada… del panel derecho.
Al hacerlo, aparecerá una ventana donde debemos definir el tipo de evento que estamos buscando.
Lo primero será indicar el periodo de tiempo en el que queremos centrar la búsqueda. Y para lograrlo, disponemos de una lista desplegable.
El último elemento de la lista nos permite establecer un Intervalo personalizado. Es decir, podremos fijar la fecha y hora en la que comienza y en la que acaba el intervalo de tiempo en el que queremos centrarnos.
En nuestro ejemplo, nos limitaremos a los Últimos 30 días.
Debajo del intervalo, incluiremos el Nivel del evento. Aquí indicaremos si buscamos eventos críticos, de advertencia, etc. Si lo dejamos en blanco, serán tenidos en cuenta todos.
A continuación, indicaremos si buscamos eventos en función del registro en el que se encuentran o según su origen.
Si elegimos Por registro, podremos señalar a qué subcategoría pertenecen los eventos, dentro de las categorías Registros de Windows y Registros de aplicaciones y servicios.
Por ejemplo, podríamos consultar todos los eventos relacionados con la subcategoría Seguridad.
Si elegimos Por origen, podemos especificar qué parte del sistema ha ocasionado el evento (por ejemplo, el spooler de impresión).
Al elegir el origen, se asigna de forma automática el valor adecuado en la subcategoría Por registro, sustituyendo a la que pudiéramos haber elegido en el punto anterior.
Para este caso, elegiremos Microsoft Windows security auditing.
En el siguiente cuadro de texto, podemos restringir los identificadores que serán tenidos en cuenta para la vista. Para conseguirlo, tenemos varias opciones:
-
Si necesitamos un único identificador, escribimos su número (por ejemplo: 4625).
-
Si queremos incluir varios identificadores, los separamos por comas (por ejemplo: 4624, 4625).
-
Para incluir un rango, escribimos el primero y el último de los repositorios que necesitamos incluir, separados por un guión (por ejemplo: 4650-4655).
-
También podemos incluir todo lo anterior, escribiendo identificadores individuales o rangos separados por comas (por ejemplo: 4698, 4700-4702, 4650-4655).
-
Incluso podemos eliminar un identificador en particular, de un rango dado, precediéndolo de un signo menos (Por ejemplo: 4698-4702, -4699).
En nuestro ejemplo, nos limitaremos al identificador 4625.
Debajo del filtro para los identificadores de eventos, podremos filtrar por una o varias categorías de tareas. Para conseguirlo, sólo tendremos que desplegar la lista Categoría de la tarea y seleccionar las que deseemos.
Nosotros nos inclinaremos por la categoría Inicio de sesión (Logon).
Otro aspecto que podemos utilizar en nuestra vista personalizada es el filtro por Palabras clave. De nuevo, podremos marcar las casillas que hay junto a las palabras de la lista desplegable que queramos utilizar.
En este caso, haremos clic sobre la casilla correspondiente a Error de auditoría.
Para terminar, podemos mostrar sólo los eventos que hagan referencia a usuarios o equipos en particular. Si necesitamos indicar varios elementos, deberemos separarlos con comas.
Cuando estemos listos, haremos clic sobre el botón Aceptar.
En ese momento, aparecerá la ventana Guardar filtro en vista personalizada. En la parte superior escribiremos un Nombre (en este caso, Errores de inicio) y una Descripción (que podemos dejar en blanco).
Debajo, indicaremos el lugar donde queremos guardar la vista personalizada. Podemos elegir la entrada Vistas personalizadas, del panel izquierdo del Visor de eventos, o cualquiera de sus subcarpetas. Incluso podemos crear una nueva subcarpeta usando el botón Nueva Carpeta.
También podemos indicar si queremos que la vista personalizada que estamos creando esté disponible para Todos los usuarios o sólo para el usuario que estamos utilizando en este momento.
Cuando hayamos terminado, hacemos clic sobre el botón Aceptar.
Como cabe esperar, una vez terminada la tarea, encontraremos la vista personalizada en el panel izquierdo del Visor de eventos.
Al elegir la vista, obtendremos, en el panel central, todos los eventos relacionados con dicha vista.
Si dejamos en blanco el cuadro de texto de una propiedad, estaremos indicando que se muestren todos los elementos para dicha propiedad.
Reutilizar filtros personalizados
Una vez creada la Vista personalizada, para volver a utilizarla en el mismo equipo sólo tenemos que buscarla en el panel de la izquierda.
Al hacer clic sobre su nombre, aparecen en el panel central los eventos filtrados por la Vista personalizada. Sin embargo, hay que tener en cuenta que la lista de sucesos se mantiene actualizada. Es decir, si se ha producido algún nuevo evento de este tipo desde la última vez que se consultó, este también aparecerá recogido en la lista.
Como pude verse en la imagen, hay nuevos eventos en la parte superior de la lista.
Por último, recordarte que este artículo sólo es un ejemplo para mostrarte cómo podemos manejar el Visor de eventos de Windows 11 y que puedes aplicar la misma técnica para cualquier otra circunstancia que te convenga controlar.
Y esto es todo por hoy. Espero que te resulte útil.
