hogar / Programas/ Cree sus propios eventos de Windows en el registro.

Cree eventos personalizados de Windows en el registro.

En el sistema operativo de la línea Windows, todos los eventos principales que ocurren en el sistema se registran con su posterior registro en el registro. Se registran errores, advertencias y solo varias notificaciones. Con base en estos registros, un usuario experimentado puede corregir el funcionamiento del sistema y eliminar errores. Averigüemos cómo abrir el registro de eventos en Windows 7.

El registro de eventos se almacena en una herramienta del sistema llamada Visor de eventos... Veamos cómo usar diferentes caminos puedes ir a él.

Método 1: "Panel de control"

Una de las formas más habituales de ejecutar la herramienta descrita en este artículo, aunque lejos de la más fácil y cómoda, se lleva a cabo utilizando "Paneles de control".

Método 2: Ejecutar herramienta

Es mucho más fácil iniciar la activación de la herramienta descrita usando la herramienta "Correr".

La desventaja básica de este rápido y manera conveniente Es la necesidad de tener en cuenta el comando para llamar a la ventana.

Método 3: cuadro de búsqueda del menú Inicio

Un método muy similar de llamar a la herramienta que estamos estudiando se lleva a cabo utilizando el campo de búsqueda del menú. "Comienzo".

Método 4: "Línea de comando"

Llamada de herramienta a través de Línea de comando bastante inconveniente, pero tal método existe y, por lo tanto, también vale la pena mencionarlo por separado. Primero, necesitamos llamar a la ventana "Línea de comando".

Método 5: inicio directo del archivo eventvwr.exe

Puede utilizar una solución tan "exótica" al problema como un archivo directo desde "Explorador"... Sin embargo, y Por aquí puede ser útil en la práctica, por ejemplo, si las fallas han alcanzado una escala tal que otras opciones para iniciar la herramienta simplemente no están disponibles. Esto es extremadamente raro, pero bastante posible.

En primer lugar, debe navegar hasta la ubicación del archivo eventvwr.exe. Se encuentra en el directorio del sistema a lo largo de la siguiente ruta:

C: \ Windows \ System32

Método 6: ingresar la ruta del archivo en la barra de direcciones

Con ayuda "Explorador" puede abrir la ventana que nos interesa y más rápido. En este caso, ni siquiera tiene que buscar eventvwr.exe en el directorio "System32"... Para hacer esto, en el campo de dirección "Explorador" solo necesita especificar la ruta a este archivo.

Método 7: crear un atajo

Si no desea memorizar varios comandos o transiciones a secciones "Paneles de control" Si cree que es demasiado inconveniente, pero al mismo tiempo usa la revista a menudo, en este caso puede crear un icono en "Escritorio" o en otro lugar conveniente para ti. Después de eso, iniciando la herramienta Visor de eventos se realizará de la forma más sencilla posible y sin necesidad de memorizar nada.

Problemas para abrir el diario

Hay casos en los que surgen problemas al abrir la revista utilizando los métodos anteriores. La mayoría de las veces, esto sucede debido al hecho de que la persona a cargo del trabajo este instrumento el servicio está desactivado. Al intentar ejecutar una herramienta Visor de eventos Se muestra un mensaje que indica que el servicio de registro de eventos no está disponible. Entonces necesitas activarlo.

En primer lugar, debes ir a Supervisor... Esto se puede hacer desde la sección "Paneles de control" Lo que es llamado "Administración"... Cómo ir a él se describió en detalle al considerar Método 1... Una vez en esta sección, busque el artículo "Servicios"... Haz click en eso.

V Supervisor puedes ir con la herramienta "Correr"... Llámalo escribiendo Win + R... Escriba en el área de entrada:

Hacer clic "OK".

Independientemente de si ha realizado la transición "Panel de control" o uso de entrada de comando en la caja de herramientas "Correr", empieza Supervisor... Busque el elemento en la lista "Revista Eventos de Windows» ... Para facilitar la búsqueda, puede ordenar todos los objetos de la lista en orden alfabético haciendo clic en el nombre del campo "Nombre"... Una vez que encuentre la fila requerida, observe el valor correspondiente en la columna "Estado"... Si el servicio está habilitado, entonces debe haber una inscripción. "Obras"... Si está vacío, significa que el servicio está desactivado. También mire el valor en la columna "Tipo de inicio"... En el estado normal, debe haber una inscripción. "Automáticamente"... Si hay un valor "Discapacitado" entonces esto significa que el servicio no se activa al iniciar el sistema.

Para solucionar este problema, vaya a las propiedades del servicio haciendo doble clic en el nombre Pintura.

Se abre una ventana. Haga clic en el área "Tipo de inicio".

Seleccionar de la lista desplegable "Automáticamente".

Haga clic en las inscripciones Solicitar y "OK".

Volviendo a Supervisor, cheque Registro de eventos de Windows... En el área izquierda del caparazón, haga clic en la inscripción. "Correr".

Se ha iniciado el servicio. Ahora en el campo de la columna correspondiente "Estado" se muestra el valor "Obras", y en el campo de la columna "Tipo de inicio" aparecerá una inscripción "Automáticamente"... Ahora el diario se puede abrir de cualquiera de las formas que describimos anteriormente.

Hay bastantes opciones para activar el registro de eventos en Windows 7. Por supuesto, las formas más convenientes y populares son pasar por "Barra de herramientas", activación por medio "Correr" o campos de búsqueda de menú "Comienzo"... Para acceder cómodamente a la función descrita, puede crear un icono en "Escritorio"... A veces hay problemas para iniciar la ventana. Visor de eventos... Luego, debe verificar si el servicio correspondiente está activado.

El sistema operativo Windows 7 monitorea constantemente varios eventos notables que ocurren en su sistema. V Microsoft Windows evento es cualquier incidente en el sistema operativo que se registra o requiere notificación a los usuarios o administradores. Podría tratarse de un servicio que no desea iniciarse, la instalación de un dispositivo o un error de la aplicación. Los eventos se registran y almacenan en los registros de eventos de Windows y brindan información histórica importante para ayudarlo a monitorear, mantener su sistema seguro, solucionar errores y ejecutar diagnósticos. Es necesario analizar periódicamente la información contenida en estos registros. Debe monitorear regularmente los registros de eventos y ajustar el sistema operativo para guardar eventos importantes del sistema. Si eres administrador Servidores de Windows, entonces es necesario monitorear la seguridad de sus sistemas, el funcionamiento normal de las aplicaciones y servicios, y también verificar el servidor en busca de errores que puedan degradar el desempeño. Si eres usuario computadora personal luego debe asegurarse de que los registros adecuados estén disponibles para respaldar su sistema y solucionar errores.

Programa Visor de eventos es un complemento de Microsoft Management Console (MMC) para ver y administrar registros de eventos. Es una herramienta indispensable para monitorear el estado del sistema y solucionar problemas. Servicio de Windows que gestiona el registro de eventos se llama "El registro de eventos"... En caso de que se esté ejecutando, Windows escribe datos importantes en los registros. Usando el programa Visor de eventos puedes hacer lo siguiente:

Ver eventos de registros específicos;
Aplique filtros de eventos y guárdelos para usarlos posteriormente como vistas personalizadas;
Crear y administrar suscripciones a eventos;
Asignar la ejecución de acciones específicas a la ocurrencia de un evento específico.

Lanzamiento del visor de eventos

Solicitud Visor de eventos se puede abrir de las siguientes formas:

Registros de eventos en Windows 7

En el quirófano Sistema de Windows 7, al igual que con Windosw Vista, hay dos categorías de registros de eventos: Registros de Windows y registros de aplicaciones y servicios. Registros de Windows - utilizado por el sistema operativo para registrar eventos de todo el sistema relacionados con el funcionamiento de aplicaciones, Componentes del sistema, seguridad y lanzamiento. A registros de aplicaciones y servicios- utilizado por aplicaciones y servicios para registrar eventos relacionados con su funcionamiento. Puede usar el complemento para administrar registros de eventos Visor de eventos o programa línea de comando wevtutil, que se discutirá en la segunda parte del artículo. Todos los tipos de registros se describen a continuación:

Solicitud- Almacena eventos importantes relacionados con una aplicación específica. Por ejemplo, Exchange Server almacena eventos de reenvío de correo, incluidos eventos de almacén de información, buzones de correo y ejecución de servicios. Ubicado en% SystemRoot% \ System32 \ Winevt \ Logs \ Application.Evtx de forma predeterminada.

Seguridad- Almacena eventos relacionados con la seguridad, como iniciar y cerrar sesión en el sistema, usar privilegios y acceder a recursos. Ubicado de forma predeterminada en% SystemRoot% \ System32 \ Winevt \ Logs \ Security.Evtx

Instalación- este registro registra los eventos que ocurren durante la instalación y configuración del sistema operativo y sus componentes. De forma predeterminada, se encuentra en% SystemRoot% \ System32 \ Winevt \ Logs \ Setup.Evtx.

Sistema- Almacena eventos del sistema operativo o sus componentes, como fallas al iniciar servicios o inicializar controladores, mensajes de todo el sistema y otros mensajes relacionados con el sistema en su conjunto. Ubicado en% SystemRoot% \ System32 \ Winevt \ Logs \ System.Evtx de forma predeterminada

Eventos reenviados- si se configura el reenvío de eventos, este registro incluye los eventos enviados desde otros servidores. Ubicado en% SystemRoot% \ System32 \ Winevt \ Logs \ ForderedEvents.Evtx de forma predeterminada

explorador de Internet - este registro registra los eventos que ocurren al configurar y trabajar con navegador de Internet Explorador. Ubicado de forma predeterminada en% SystemRoot% \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx

Windows PowerShell- Este registro registra eventos relacionados con PowerShell. De forma predeterminada, se encuentra en% SystemRoot% \ System32 \ Winevt \ Logs \ WindowsPowerShwll.Evtx

Eventos de equipos- si el registro de eventos del equipo está configurado, los eventos generados por los dispositivos se registran en este registro. Ubicado de forma predeterminada en% SystemRoot% \ System32 \ Winevt \ Logs \ HardwareEvent.Evtx

En Windows 7, la infraestructura para proporcionar registro de eventos se basa en la misma Windows Vista a XML. Los datos de cada evento se ajustan al esquema XML, lo que permite acceder al código XML de cualquier evento. Además, puede crear consultas basadas en XML para recuperar datos de los registros. No se requieren conocimientos de XML para utilizar estas nuevas funciones. Aparejo Visor de eventos proporciona un simple interfaz grafica para acceder a estas funciones.

Propiedades del evento

Hay varias propiedades para los eventos de complemento Visor de eventos, que se detallan un poco a continuación:

Una fuente es el programa que registró el evento. Puede ser el nombre de un programa (por ejemplo, "Exchange Server") o el nombre de un componente del sistema o una aplicación grande (por ejemplo, el nombre de un controlador). Por ejemplo, "Elnkii" significa controlador EtherLink II.

ID de evento es un número que identifica un tipo específico de evento. La primera línea de la descripción generalmente contiene el nombre del tipo de evento. Por ejemplo, 6005 es el ID del evento que ocurre cuando se inicia el servicio de registro de eventos. En consecuencia, al comienzo de la descripción de este evento está la línea "El servicio de registro de eventos ha comenzado". Los representantes del equipo de soporte pueden utilizar el ID de evento y el nombre de la fuente de grabación producto de software para solucionar problemas.

Nivel es el nivel de importancia del evento. En los registros del sistema y de la aplicación, los eventos pueden tener los siguientes niveles de gravedad:

Notificación- Indica un cambio en una aplicación o componente, como la ocurrencia de un evento informativo asociado con una acción exitosa, la creación de un recurso o el inicio de un servicio.
Una advertencia- indica una advertencia general de un problema que podría afectar el servicio o conducir a un problema más grave si no se atiende;
Error- indica que ha ocurrido un problema que podría afectar funciones externas a la aplicación o componente que generó el evento.
Error crítico- indica que ha ocurrido una falla, después de la cual la aplicación o componente que desencadenó el evento no se puede recuperar automáticamente;
Auditoría de éxito- la finalización satisfactoria de las acciones de las que realiza un seguimiento a través de la auditoría, por ejemplo, el uso de un privilegio;
Auditoría de fallas- Ejecución fallida de acciones que rastrea a través de la auditoría, por ejemplo, un error al iniciar sesión en el sistema.

Usuario- define la cuenta de usuario en cuyo nombre el este evento... Los usuarios incluyen entidades especiales como Servicio local, Servicio de red e Inicio de sesión anónimo, así como cuentas de usuario reales. Este nombre es el ID del cliente si el evento fue realmente activado por el proceso del servidor, o el ID principal si no se realiza ninguna suplantación. En algunos casos, la entrada del registro de seguridad contiene ambos identificadores. Y también en este campo puede haber N / A (N / A), si en esta situación Cuenta no aplica. La suplantación de identidad ocurre cuando el servidor permite que un proceso asigne atributos de seguridad a otro proceso.

Código de trabajo: contiene un valor numérico que define una operación o un punto dentro de una operación que desencadenó este evento. Por ejemplo, inicialización o cierre.

Revista- el nombre del registro en el que se registró este evento.

Categoría y tareas- define la categoría del evento, que a veces se utiliza para describir con más detalle la acción permitida. Cada fuente de eventos tiene sus propias categorías. Por ejemplo, las siguientes categorías son: inicio de sesión / cierre de sesión, uso de privilegios, cambio de política y administración de cuentas.

Palabras clave es una colección de categorías o etiquetas que se pueden usar para filtrar o buscar eventos. Por ejemplo: "Red", "Seguridad" o "Recurso no encontrado".

Un ordenador: identifica el nombre de la computadora en la que ocurrió el evento. Este suele ser el nombre computadora local, pero también puede ser el nombre de la computadora que reenvió el evento o el nombre de la computadora local antes de que se cambiara.

fecha y hora- define la fecha y hora de ocurrencia de este evento en el registro.

Identificacion de proceso- representa el número de identificación del proceso que generó este evento. Programa de computadora es solo un conjunto pasivo de instrucciones, mientras que un proceso es la ejecución directa de estas instrucciones

ID de secuencia- representa el número de identificación del hilo que generó este evento. Un proceso generado en un sistema operativo puede constar de varios subprocesos que se ejecutan "en paralelo", es decir, sin un orden prescrito en el tiempo. Para algunas tareas, esta separación puede lograr más uso efectivo recursos informáticos

ID de procesador- representa el número de identificación del procesador que manejó el evento.

Código de sesión es el número de identificación de sesión en el servidor de terminal en el que ocurrió el evento.

Tiempo de ejecución en modo kernel- Determina el tiempo empleado en ejecutar instrucciones en modo kernel, en unidades de tiempo de CPU. El modo Kernel tiene acceso irrestricto a la memoria del sistema y dispositivos externos... El kernel de un sistema NT se denomina kernel híbrido o macrokernel.

Tiempo de ejecución en modo personalizado- define el tiempo dedicado a ejecutar las instrucciones del modo de usuario, en unidades de tiempo de CPU. El modo de usuario consta de subsistemas que pasan solicitudes de E / S al controlador apropiado en modo kernel a través del administrador de E / S.

Carga del procesador es el tiempo empleado en ejecutar instrucciones en modo de usuario, en ticks de CPU.

Código de correlación- define la acción en el proceso para la que se utiliza el evento. Este código se utiliza para especificar relaciones simples entre eventos. La correlación es una relación estadística de dos o más variables aleatorias (o cantidades que pueden considerarse como tales con un grado aceptable de precisión). Al mismo tiempo, los cambios en uno o más de estos valores conducen a un cambio sistemático en otro u otros valores.

ID de correlación relativa- define la acción relativa en el proceso para el que se utiliza el evento

Trabajar con registros de eventos

Ver eventos

En la siguiente captura de pantalla, puede ver el registro "Aplicaciones" para ver información sobre eventos, vistas recientes y acciones disponibles. Para ver los eventos del registro de la aplicación, siga estos pasos:

En el árbol de la consola, seleccione Registros de Windows;
Seleccionar revista "Aplicaciones".

Es recomendable ver los registros de eventos con más frecuencia. "Solicitud" y "Sistema" e investigue los problemas existentes y las advertencias que pueden presagiar problemas en el futuro. Cuando selecciona un registro, la ventana central muestra los eventos disponibles, incluida la fecha, hora y origen del evento, nivel del evento y otros datos.

Panel "Ver área" muestra datos de eventos básicos en una pestaña "General" y datos específicos adicionales, en la pestaña "Detalles"... Puede encender y apagar este panel seleccionando el menú "Vista" y luego el comando "Ver área".

Para sistemas críticos, se recomienda que mantenga registros de los últimos meses. Suele ser un inconveniente asignar a las revistas un tamaño tal que puedan caber toda la información en ellas todo el tiempo, este problema se puede solucionar de otra forma. Puede exportar registros a archivos ubicados en una carpeta específica. Para guardar el registro seleccionado, haga lo siguiente:

En el árbol de la consola, seleccione el registro de eventos que desea guardar;
Seleccionar un equipo "Guardar eventos como" del menú "Acción" o de Menú de contexto comando de selección de registro "Guardar todos los eventos como";
En el diálogo que aparece "Guardar como" seleccione la carpeta donde se debe guardar el archivo. Si desea guardar un archivo en una carpeta nueva, puede crearlo directamente desde este cuadro de diálogo utilizando el menú contextual o el botón « nueva carpeta» en la barra de acciones. En campo "Tipo de archivo" debe seleccionar el formato de archivo deseado entre los disponibles: archivos de eventos - * .evtx, archivo xml - * .xml, texto delimitado por tabulaciones - * .txt, csv delimitado por comas - * .csv. En campo "Nombre del archivo" "Ahorrar"... Para cancelar el guardado, presione el botón. "Cancelar";
Si el registro de eventos no está diseñado para verlo en otra computadora, en el cuadro de diálogo "Mostrar detalles" dejar la opción predeterminada "No mostrar información", y si el registro está destinado a ser visto en otra computadora, entonces en el cuadro de diálogo "Mostrar detalles" Seleccionar opción "Mostrar información para los siguientes idiomas" y haga clic en el botón "OK".

Borrar el registro de eventos

A veces es necesario borrar todos los registros de eventos para garantizar un análisis eficaz de las advertencias y los errores críticos del sistema operativo. Para borrar el registro seleccionado, haga lo siguiente:

En el árbol de la consola, seleccione el registro de eventos que desea borrar;
Borre el registro de una de las siguientes formas:
- En el menú "Acción" selecciona un equipo "Borrar registro";
- En el registro seleccionado, haga clic con el botón derecho para abrir el menú contextual. En el menú contextual, seleccione el comando "Borrar registro";
Luego, puede borrar el registro o archivarlo si no se ha hecho antes:
- Para borrar el registro de eventos sin guardar, haga clic en el botón "Claro";
- Para borrar el registro de eventos después de guardarlo, haga clic en el botón "Guardar y borrar"... En el diálogo que aparece "Guardar como" seleccione la carpeta donde se debe guardar el archivo. Si desea guardar un archivo en una carpeta nueva, puede crearlo directamente desde este cuadro de diálogo utilizando el menú contextual o el botón "Nueva carpeta" en la barra de acciones. En campo "Nombre del archivo" ingrese un nombre y haga clic en el botón "Ahorrar"... Para cancelar el guardado, haga clic en el botón "Cancelar".

Establecer el tamaño máximo de registro

Como se mencionó anteriormente, los registros de eventos se almacenan como archivos en la carpeta% SystemRoot% \ System32 \ Winevt \ Logs \. De forma predeterminada, el tamaño máximo de estos archivos es limitado, pero puede cambiarlo de la siguiente manera:

Seleccionar un equipo "Propiedades" del menú "Acción"
En campo "Tamaño máximo de registro (KB)" establezca el valor requerido usando un contador o establezca manualmente sin usar un contador. En este caso, el valor se redondeará al múltiplo más cercano de 64 KB porque el tamaño del archivo de registro debe ser un múltiplo de 64 KB y no puede ser inferior a 1024 KB.

Los eventos se guardan en un archivo de registro que solo puede crecer hasta el tamaño máximo especificado. Después de llegar al archivo talla máxima, el procesamiento de los eventos entrantes estará determinado por la política de retención de registros. Están disponibles las siguientes políticas de guardado de registros:

Sobrescriba los eventos según sea necesario (primero los archivos antiguos)- en este caso, las nuevas entradas continúan registrándose en el registro después de que esté lleno. Cada nuevo evento reemplaza al más antiguo en el registro;

Archivar la revista cuando esté llena; no reescriba eventos- en este caso, el archivo de registro se archiva automáticamente si es necesario. No se sobrescribe ningún evento obsoleto.

No reescriba eventos (borre el registro manualmente)- en este caso, el registro se borra manualmente, no automáticamente.

Para seleccionar la política de guardado de registros requerida, haga lo siguiente:

En el árbol de la consola, seleccione el registro de eventos cuyo tamaño desea cambiar;
Seleccionar un equipo "Propiedades" del menú "Acción" o desde el menú contextual del registro seleccionado;
En la pestaña "General", En el capítulo "Al alcanzar el tamaño máximo" seleccione el parámetro requerido y presione el botón "OK".

Analizar y depurar la activación del registro

Los registros analíticos y de depuración están inactivos de forma predeterminada. Una vez activados, se llenan rápidamente gran cantidad eventos. Por esta razón, es recomendable activar estos registros durante un período de tiempo limitado para recopilar los datos necesarios para la resolución de problemas y luego desactivarlos nuevamente. Los registros se pueden activar de la siguiente manera:

En el árbol de la consola, busque y seleccione el registro analítico o de depuración que desea activar;
Seleccionar un equipo "Propiedades" del menú "Acción" o desde el menú contextual del registro analítico o de depuración seleccionado;
En la pestaña "General" marque la casilla de opciones "Habilitar registro"

Abrir y cerrar un registro guardado

Con un chasquido Visor de eventos puede abrir y ver registros guardados previamente. Puede abrir varios registros guardados al mismo tiempo y acceder a ellos en cualquier momento en el árbol de la consola. Diario abierto en "Ver eventos", se puede cerrar sin borrar la información que contiene. Siga estos pasos para abrir un registro guardado:

Seleccionar un equipo "Abrir registro guardado" en el menú "Acción" o desde el menú contextual en el árbol de la consola;
3. En el cuadro de diálogo "Abrir registro guardado" moviéndose por el árbol de directorios, abra la carpeta que contiene archivo deseado... De forma predeterminada, todos los archivos de registro de eventos se muestran en el cuadro de diálogo. Además, al abrir, puede seleccionar el tipo de archivos que desea mostrar en el cuadro de diálogo de apertura. Los tipos de archivo disponibles son archivos de registro de eventos (* .evtx, * .evt, * .etl) y archivos de eventos (* .evtx), archivos de eventos antiguos (* .evt) o archivos de registro de seguimiento (* .etl). Después de encontrar el archivo de registro requerido, selecciónelo haciendo clic en él con el botón izquierdo del mouse, que colocará su nombre en la línea para ingresar el nombre del archivo y haga clic en el botón "Abierto".
En dialogo "Abrir registro guardado", en el campo "Nombre" introduzca un nuevo nombre que se utilizará para el registro en el árbol de la consola. Solo se usa para representar el registro en el árbol de la consola y no cambia el nombre del archivo de registro. También puede usar el nombre del archivo de registro existente. En campo "Descripción" ingrese una descripción para la revista. Se mostrará en el panel central cuando se seleccione la carpeta de registro principal en el árbol de la consola;
Para crear una carpeta en la que se ubicará el registro guardado, haga clic en el botón "Crear una carpeta"... En campo "Nombre" ingrese el nombre de la carpeta donde se ubicará el registro abierto, y luego haga clic en "OK"... Si no se selecciona una carpeta principal, la nueva carpeta se ubicará en la carpeta "Registros guardados".
Para que el registro de eventos abierto sea inaccesible para otros usuarios de la computadora, puede desmarcar la casilla "Todos los usuarios"... Si esta casilla de verificación permanece activa, el registro abierto estará disponible para todos los usuarios, pero se requieren derechos de administrador para eliminarlo del árbol de la consola;
Para abrir la revista, haga clic en el botón "OK".

Para eliminar un registro abierto del árbol de eventos, siga estos pasos:

En el árbol de la consola, seleccione el registro que se eliminará;
Seleccionar un equipo "Borrar" del menú "Acción" o desde el menú contextual del registro seleccionado;
En dialogo Visor de eventos haga clic en el botón "Sí".

Conclusión

Esta parte del artículo, dedicada al complemento Visor de eventos, habla sobre el complemento en sí y describe en detalle las operaciones más simples asociadas con la supervisión y el mantenimiento del sistema mediante el Visor de eventos. La siguiente parte del artículo se calculará para experimentados. Usuarios de Windows... Describirá tareas con vistas personalizadas, filtrado, agrupación / clasificación de eventos y gestión de suscripciones.

A veces ocurren eventos que requieren que respondamos una pregunta. "¿quien hizo esto?" Esto puede suceder "rara vez, pero de manera adecuada", por lo que debe prepararse para la respuesta a la pregunta con anticipación.

Casi en todas partes hay departamentos de diseño, departamentos de contabilidad, desarrolladores y otras categorías de empleados que trabajan juntos en grupos de documentos almacenados en una carpeta pública (compartida) en un servidor de archivos o en una de las estaciones de trabajo. Puede suceder que alguien elimine un documento o directorio importante de esta carpeta, como resultado de lo cual se puede perder el trabajo de todo el equipo. En este caso, surgen varias preguntas ante el administrador del sistema:

¿Cuándo y a qué hora ocurrió el problema?

¿Cuál es el más cercano a este momento? respaldo¿Debo recuperar mis datos?

Tal vez hubo fallo de sistema que puede volver a pasar?

Windows tiene un sistema Auditoría, lo que le permite rastrear y registrar información sobre cuándo, por quién y con la ayuda de qué programa se eliminaron los documentos. De forma predeterminada, la auditoría no está habilitada: el seguimiento en sí mismo requiere un cierto porcentaje de la energía del sistema, y si registra todo en una fila, la carga será demasiado grande. Además, no todas las acciones de los usuarios pueden interesarnos, por lo que las políticas de Auditoría nos permiten permitir el seguimiento solo de aquellos eventos que son realmente importantes para nosotros.

El sistema de auditoría está integrado en todos los sistemas operativos MicrosoftVentanasNuevo Testamento: Windows XP / Vista / 7, Servidor de windows 2000/2003/2008. Desafortunadamente, en sistemas de la serie Inicio de Windows la auditoría está profundamente enterrada y es demasiado difícil de personalizar.

¿Qué necesitas personalizar?

Para habilitar la auditoría, inicie sesión con derechos de administrador en la computadora que brinda acceso a documentos compartidos y ejecute el comando Comienzo→Correr→gpedit.msc. En la sección Configuración de la computadora, expanda la carpeta Configuración de Windows→ Configuraciones de seguridad→ Políticas locales→ Políticas de auditoría:

Haga doble clic en la política Auditar el acceso a objetos (Auditoría de acceso a objetos) y seleccione la casilla de verificación Éxito. Este parámetro habilita un mecanismo para rastrear el acceso exitoso a los archivos y al registro. De hecho, solo nos interesan los intentos exitosos de eliminar archivos o carpetas. Habilite la auditoría solo en las computadoras directamente en las que se almacenan los objetos rastreados.

Simplemente habilitar la política de auditoría no es suficiente, también necesitamos especificar a qué carpetas rastrear el acceso. Por lo general, estos objetos son carpetas de documentos comunes (compartidos) y carpetas con programas de producción o bases de datos (contabilidad, almacén, etc.), es decir, recursos con los que trabajan varias personas.

Es imposible adivinar de antemano quién eliminará el archivo, por lo tanto, el seguimiento está indicado para Todos. Se registrarán los intentos exitosos de eliminar objetos rastreados por parte de cualquier usuario. Llame a las propiedades de la carpeta requerida (si hay varias carpetas de este tipo, entonces todas a su vez) y en la pestaña Seguridad → Avanzado → Auditoría agregar seguimiento de sujetos Todo el mundo sus intentos de acceso exitosos Borrar y Eliminar subcarpetas y archivos:

Se pueden registrar muchos eventos, por lo que también debe ajustar el tamaño del registro Seguridad(Seguridad) en el que se grabarán. Para
ejecutar este comando Comienzo→ Correr→ eventvwr. msc. En la ventana que aparece, llame a las propiedades del registro de seguridad y especifique los siguientes parámetros:

Tamaño máximo de registro = 65536 KB(para estaciones de trabajo) o 262144 KB(para servidores)

Sobrescriba los eventos según sea necesario.

De hecho, no se garantiza que estas cifras sean precisas, sino que se seleccionan empíricamente para cada caso específico.

Ventanas 2003/ XP)?

Haga clic en Comienzo→ Correr→ eventvwr.msc Seguridad. Vista→ Filtrar

Origen del evento: seguridad;
Categoría: Acceso a objetos;
Tipos de eventos: auditoría de éxito;
Id. De suceso: 560;

Revise la lista de eventos filtrados, prestando atención a los siguientes campos dentro de cada registro:

ObjetoNombre. El nombre de la carpeta o archivo que está buscando;
ImagenExpedienteNombre. El nombre del programa con el que se eliminó el archivo;
Accesos. El conjunto de derechos solicitados.

El programa puede solicitar varios tipos de acceso del sistema a la vez, por ejemplo, Borrar+ Sincronizar o Borrar+ Leer_ Control. Un derecho importante para nosotros es Borrar.

Entonces, ¿quién eliminó los documentos (Ventanas 2008/ Vista)?

Haga clic en Comienzo→ Correr→ eventvwr.msc y abra el registro para verlo Seguridad. El registro se puede llenar con eventos que no están directamente relacionados con el problema. Haga clic con el botón derecho en el registro de seguridad y seleccione Vista→ Filtrar y filtrar la vista según los siguientes criterios:

Origen del evento: seguridad;
Categoría: Acceso a objetos;
Tipos de eventos: auditoría de éxito;
Id. De suceso: 4663;

Tómese su tiempo para interpretar todas las eliminaciones como maliciosas. Esta función se utiliza a menudo cuando trabajo rutinario programas, por ejemplo, ejecutando el comando Ahorrar(Ahorrar), programas de paquete MicrosoftOficina primero cree un nuevo archivo temporal, guarde el documento en él y luego elimine versión previa expediente. Asimismo, muchas aplicaciones de bases de datos primero crean un archivo de bloqueo temporal al iniciarse. (. lck), luego retírelo al salir del programa.

En la práctica, también me he encontrado con un comportamiento de usuario malintencionado. Por ejemplo, un empleado en conflicto de una determinada empresa, al ser despedido de su trabajo, decidió destruir todos los resultados de su trabajo eliminando los archivos y carpetas con los que estaba relacionado. Los eventos de este tipo son claramente visibles: generan decenas, cientos de entradas por segundo en el registro de seguridad. Por supuesto, recuperar documentos de SombraCopias (Copias de sombra) o un archivo diario creado automáticamente no es difícil, pero al mismo tiempo podría responder a las preguntas "¿Quién hizo esto?" y "¿Cuándo sucedió esto?"

El sistema operativo Windows 7 monitorea constantemente varios eventos notables que ocurren en su sistema. En Microsoft Windows evento es cualquier incidente en el sistema operativo que se registra o requiere notificación a los usuarios o administradores. Podría tratarse de un servicio que no desea iniciarse, la instalación de un dispositivo o un error de la aplicación. Los eventos se registran y almacenan en los registros de eventos de Windows y brindan información histórica importante para ayudarlo a monitorear, mantener su sistema seguro, solucionar errores y ejecutar diagnósticos. Es necesario analizar periódicamente la información contenida en estos registros. Debe monitorear regularmente los registros de eventos y ajustar el sistema operativo para guardar eventos importantes del sistema. En el caso de que sea un administrador de servidores de Windows, debe monitorear la seguridad de sus sistemas, el funcionamiento normal de las aplicaciones y los servicios, y también verificar el servidor en busca de errores que puedan degradar el rendimiento. Si es un usuario de una computadora personal, debe asegurarse de tener los registros adecuados disponibles para respaldar su sistema y solucionar errores.

Programa Visor de eventos es un complemento de Microsoft Management Console (MMC) para ver y administrar registros de eventos. Es una herramienta indispensable para monitorear el estado del sistema y solucionar problemas. El servicio de Windows que administra el registro de eventos se llama "El registro de eventos"... En caso de que se esté ejecutando, Windows escribe datos importantes en los registros. Usando el programa Visor de eventos puedes hacer lo siguiente:

Ver eventos de registros específicos;
Aplique filtros de eventos y guárdelos para usarlos posteriormente como vistas personalizadas;
Crear y administrar suscripciones a eventos;
Asignar la ejecución de acciones específicas a la ocurrencia de un evento específico.

Lanzamiento del visor de eventos

Solicitud Visor de eventos se puede abrir de las siguientes formas:

Figura 1. Ventana del visor de eventos

Registros de eventos en Windows 7

En el sistema operativo Windows 7, así como en Windosw Vista, hay dos categorías de registros de eventos: Registros de Windows y registros de aplicaciones y servicios. Registros de Windows- utilizado por el sistema operativo para registrar eventos de todo el sistema relacionados con el funcionamiento de las aplicaciones, los componentes del sistema, la seguridad y el inicio. A registros de aplicaciones y servicios- utilizado por aplicaciones y servicios para registrar eventos relacionados con su funcionamiento. Puede usar el complemento para administrar registros de eventos Visor de eventos o el programa de línea de comandos wevtutil, que se discutirá en la segunda parte del artículo. Todos los tipos de registros se describen a continuación:

Solicitud- Almacena eventos importantes relacionados con una aplicación específica. Por ejemplo, Exchange Server almacena eventos de reenvío de correo, incluidos eventos del almacén de información, buzones de correo y servicios en ejecución. Ubicado en% SystemRoot% \ System32 \ Winevt \ Logs \ Application.Evtx de forma predeterminada.

explorador de Internet- este registro registra los eventos que ocurren al configurar y trabajar con el navegador Internet Explorer. Ubicado de forma predeterminada en% SystemRoot% \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx

Windows PowerShell- Este registro registra eventos relacionados con PowerShell. De forma predeterminada, se encuentra en% SystemRoot% \ System32 \ Winevt \ Logs \ WindowsPowerShwll.Evtx

En Windows 7, la infraestructura para proporcionar registro de eventos se basa en XML como en Windows Vista. Los datos de cada evento se ajustan al esquema XML, lo que permite acceder al código XML de cualquier evento. Además, puede crear consultas basadas en XML para recuperar datos de los registros. No se requieren conocimientos de XML para utilizar estas nuevas funciones. Aparejo Visor de eventos proporciona una interfaz gráfica simple para acceder a estas capacidades.

Propiedades del evento

Hay varias propiedades para los eventos de complemento Visor de eventos, que se detallan un poco a continuación:

ID de evento es un número que identifica un tipo específico de evento. La primera línea de la descripción generalmente contiene el nombre del tipo de evento. Por ejemplo, 6005 es el ID del evento que ocurre cuando se inicia el servicio de registro de eventos. En consecuencia, al comienzo de la descripción de este evento está la línea "El servicio de registro de eventos ha comenzado". El equipo de soporte del producto puede utilizar el ID de evento y el nombre de la fuente de grabación para solucionar problemas.

Nivel es el nivel de importancia del evento. En los registros del sistema y de la aplicación, los eventos pueden tener los siguientes niveles de gravedad:

Notificación- Indica un cambio en una aplicación o componente, como la ocurrencia de un evento informativo asociado con una acción exitosa, la creación de un recurso o el inicio de un servicio.
Una advertencia- indica una advertencia general de un problema que podría afectar el servicio o conducir a un problema más grave si no se atiende;
Error- indica que ha ocurrido un problema que podría afectar funciones externas a la aplicación o componente que generó el evento.
Error crítico- indica que ha ocurrido una falla, después de la cual la aplicación o componente que desencadenó el evento no se puede recuperar automáticamente;
Auditoría de éxito- la finalización satisfactoria de las acciones de las que realiza un seguimiento a través de la auditoría, por ejemplo, el uso de un privilegio;
Auditoría de fallas- Ejecución fallida de acciones que rastrea a través de la auditoría, por ejemplo, un error al iniciar sesión en el sistema.

Usuario- define la cuenta de usuario en cuyo nombre ocurrió este evento. Los usuarios incluyen entidades especiales como Servicio local, Servicio de red e Inicio de sesión anónimo, así como cuentas de usuario reales. Este nombre es el ID del cliente si el evento fue realmente activado por el proceso del servidor, o el ID principal si no se realiza ninguna suplantación. En algunos casos, la entrada del registro de seguridad contiene ambos identificadores. Y también en este campo puede ser N / A (N / A), si en esta situación la cuenta no es aplicable. La suplantación de identidad ocurre cuando el servidor permite que un proceso asigne atributos de seguridad a otro proceso.

Código de trabajo: contiene un valor numérico que define una operación o un punto dentro de una operación que desencadenó este evento. Por ejemplo, inicialización o cierre.

Revista- el nombre del registro en el que se registró este evento.

Palabras clave es una colección de categorías o etiquetas que se pueden usar para filtrar o buscar eventos. Por ejemplo: "Red", "Seguridad" o "Recurso no encontrado".

Un ordenador: identifica el nombre de la computadora en la que ocurrió el evento. Este suele ser el nombre de la computadora local, pero también puede ser el nombre de la computadora que reenvió el evento o el nombre de la computadora local antes de que se cambiara.

fecha y hora- define la fecha y hora de ocurrencia de este evento en el registro.

Identificacion de proceso- representa el número de identificación del proceso que generó este evento. Un programa de computadora es solo un conjunto pasivo de instrucciones, mientras que un proceso es la ejecución directa de estas instrucciones.

ID de secuencia- representa el número de identificación del hilo que generó este evento. Un proceso generado en un sistema operativo puede constar de varios subprocesos que se ejecutan "en paralelo", es decir, sin un orden prescrito en el tiempo. Al realizar algunas tareas, dicha división puede lograr un uso más eficiente de los recursos informáticos.

ID de procesador- representa el número de identificación del procesador que manejó el evento.

Código de sesión es el número de identificación de sesión en el servidor de terminal en el que ocurrió el evento.

Tiempo de ejecución en modo kernel- Determina el tiempo empleado en ejecutar instrucciones en modo kernel, en unidades de tiempo de CPU. El modo Kernel tiene acceso sin restricciones a la memoria del sistema y a los dispositivos externos. El kernel de un sistema NT se denomina kernel híbrido o macrokernel.

Carga del procesador es el tiempo empleado en ejecutar instrucciones en modo de usuario, en ticks de CPU.

ID de correlación relativa- define la acción relativa en el proceso para el que se utiliza el evento