Cómo usar el Visor de eventos de Windows Server 2012 R2

Para un administrador, siempre es importante saber lo que ocurre en su sistema. Afortunadamente, los sistemas operativos, y muchas de las aplicaciones, suelen guardar detalles de su funcionamiento en unos archivos especiales, llamados registros de eventos (también logs o bitácoras).

Su objetivo es contener anotaciones sobre su funcionamiento, sobre las anomalías que surjan durante éste, o sobre cualquier otro problema o situación que deba ser reseñada a lo largo del tiempo.

El Visor de eventos de Windows Server 2012 R2 es un complemento de Microsoft Management Console (MMC) que permite consultar y administrar, de una forma potente y centralizada, la información contenida en los múltiples registros de eventos. Hoy realizaremos una introducción al funcionamiento del Visor de eventos de Windows Server 2012 R2.

Abrir el Visor de eventos

Podemos abrir fácilmente el Visor de eventos desde el Administrador del servidor.

Para abrir el Visor de eventos, desde el Administrador del servidor, desplegamos el menú Herramientas y elegimos Visor de eventos.

Puedes evitar el paso por el Administrador del Servidor usando la orden eventvwr.msc. Sólo tienes que usar la combinación de teclas Windows + R y, en la ventana que aparece, escribir la orden.

Como en otras ocasiones, la ventana del Visor de eventos aparecerá dividida en tres paneles.

El panel de la izquierda aparece organizado a modo de árbol, donde nos encontramos diferentes categorías que podemos ir desplegando.

De momento, nos centraremos en la categoría Registros de Windows, que contiene una serie de subcategorías que, en su mayoría, resultarán familiares para los usuarios avanzados de otros sistemas de escritorio de Microsoft. En concreto, encontramos las siguientes:

  • Aplicación: Aquí anotan sus eventos las aplicaciones y los servicios que no forman parte del sistema
  • Seguridad: Incluye la información de los eventos relacionados con la seguridad del sistema.
  • Instalación: Donde se anotan la información de los eventos relativos a la configuración de roles y características.
  • Sistema: Contiene información relativa a los eventos del sistema y de sus componentes.
  • Eventos reenviados: Contiene información reenviada por otros sistemas de la red.

Aunque nosotros, de momento nos centraremos en Aplicación, Seguridad y Sistema.

Consultar un tipo de eventos

Según lo que hemos dicho más arriba, si queremos ver los eventos del sistema relacionados con la Seguridad, hacemos clic en dicha categoría.

… Y podemos comprobar, por ejemplo, cuándo un usuario ha cometido un error al autenticarse.

La información sobre cada evento incluye:

  • Su origen.
  • Un identificador (diferente para cada tipo de evento).
  • La fecha y la hora en la que se produjo.
  • El equipo en el que se ha producido.
  • Etc.

Además, podremos encontrar un enlace, que nos llevará a una página web de Microsoft con más información sobre el tipo de evento.

Podremos utilizar el identificador para localizar rápidamente todos los eventos del mismo tipo.

Crear una vista personalizada para determinados eventos

Cuando recurrimos al Visor de eventos, es muy frecuente que estemos buscando un determinado tipo de evento que, a su vez, está relacionado con un problema en concreto.

Una de las principales ventajas del Visor de eventos es que nos permite filtrar eventos específicos, de manera independiente a la categoría concreta a la que pertenezcan. De esta forma, podremos ver todos los eventos relacionados con la situación que estamos investigando. Para conseguirlo, procederemos de la siguiente forma:

Para comenzar, hacemos clic sobre el enlace Crear vista personalizada

Aparecerá una ventana donde debemos definir el tipo de evento que estamos buscando.

Lo primero será indicar el periodo de tiempo en el que queremos centrar la búsqueda. Para lograrlo, disponemos de una lista desplegable.

El último elemento de la lista nos permite establecer un Intervalo personalizado. Es decir, podremos fijar la fecha y hora en la que comienza y en la que acaba el intervalo de tiempo en el que queremos centrarnos.

En nuestro ejemplo, nos limitaremos a los Últimos 30 días.

Debajo del intervalo, incluiremos el Nivel del evento. Aquí indicaremos si buscamos eventos críticos, de advertencia, etc. Si lo dejamos en blanco, serán tenidos en cuenta todos.

A continuación, indicaremos si buscamos eventos en función del registro en el que se encuentran o según su origen.

Si elegimos Por registro, podremos señalar a qué subcategoría pertenecen los eventos, dentro de las categorías Registros de Windows y Registros de aplicaciones y servicios.

Por ejemplo, podríamos elegir todos los eventos relacionados con la subcategoría Seguridad.

Si elegimos Por origen, podemos especificar qué parte del sistema ha ocasionado el evento (por ejemplo, el spooler de impresión).

Al elegir el origen, se asigna de forma automática el valor adecuado en la subcategoría Por registro, sustituyendo a la que pudiéramos haber elegido en el punto anterior.

Para este caso, elegiremos Microsoft Windows security auditing.

En el siguiente cuadro de texto, podemos restringir los identificadores que serán tenidos en cuenta para la vista. Para conseguirlo, tenemos varias opciones:

  • Si necesitamos un único identificador, escribimos su número (por ejemplo: 4625).
  • Si queremos incluir varios identificadores, los separamos por comas (por ejemplo: 4624, 4625).
  • Para incluir un rango, escribimos el primero y el último de los repositorios que necesitamos incluir, separados por un guión (por ejemplo: 4650-4655).
  • También podemos incluir todo lo anterior, escribiendo identificadores individuales o rangos separados por comas (por ejemplo: 4698, 4700-4702, 4650-4655).
  • Incluso podemos eliminar un identificador en particular, de un rango dado, precediéndolo de un signo menos (Por ejemplo: 4698-4702, -4699).

En nuestro ejemplo, nos limitaremos al identificador 4625.

Debajo del filtro para los identificadores de eventos, podremos filtrar por una o varias categorías de tareas. Para conseguirlo, sólo tendremos que desplegar la lista Categoría de la tarea y seleccionar las que deseemos.

Nosotros nos inclinaremos por la categoría Inicio de sesión.

Otro aspecto que podemos utilizar en nuestra vista personalizada es el filtro por Palabras clave. De nuevo, podremos marcar las casillas que hay junto a las palabras de la lista desplegable que queramos utilizar.

En este caso, haremos clic sobre la casilla correspondiente a Error de auditoría.

Para terminar, podemos mostrar sólo los eventos que hagan referencia a usuarios o equipos en particular. Si necesitamos indicar varios elementos, deberemos separarlos con comas.

Cuando estemos listos, haremos clic sobre el botón Aceptar.

En ese momento, aparecerá la ventana Guardar filtro en vista personalizada. En la parte superior escribiremos un Nombre (en este caso, Errores de inicio) y una Descripción (que podemos dejar en blanco).

Debajo, indicaremos el lugar donde queremos guardar la vista personalizada. Podemos elegir la entrada Vistas personalizadas, del panel izquierdo del Visor de eventos, o cualquiera de sus subcarpetas. Incluso podemos crear una nueva subcarpeta usando el botón Nueva Carpeta.

También podemos indicar si queremos que la vista personalizada que estamos creando esté disponible para Todos los usuarios o sólo para el usuario que estamos utilizando en este momento.

Cuando hayamos terminado, hacemos clic sobre el botón Aceptar.

Como cabe esperar, una vez terminada la tarea, encontraremos la vista personalizada en el panel izquierdo del Visor de eventos.

Al elegir la vista, obtendremos, en el panel central, todos los eventos relacionados con dicha vista.

Si dejamos en blanco el cuadro de texto de una propiedad, estaremos indicando que se muestren todos los elementos para dicha propiedad.

Y esto es todo por hoy. Espero que te resulte útil.