El registro de eventos de Windows es un registro detallado de las notificaciones del sistema, la seguridad y las aplicaciones almacenadas por el sistema operativo Windows que utilizan los administradores para diagnosticar problemas del sistema y predecir problemas futuros.
Las aplicaciones y el sistema operativo (SO) usan estos registros de eventos para registrar acciones importantes de hardware y software que el administrador puede usar para solucionar problemas con el sistema operativo. El sistema operativo Windows realiza un seguimiento de eventos específicos en sus archivos de registro, como instalaciones de aplicaciones, administración de seguridad, operaciones de configuración del sistema en el inicio inicial y problemas o errores.
Los elementos de un registro de eventos de Windows
Cada evento de una entrada de registro contiene la siguiente información:
Fecha: La fecha en que se produjo el evento.
Hora: La hora en que se produjo el evento.
Usuario: El nombre de usuario del usuario que inició sesión en la máquina cuando se produjo el evento.
Ordenador: El nombre del ordenador.
ID de evento: Un número de identificación de Windows que especifica el tipo de evento.
Fuente: El programa o componente que causó el evento.Tipo
: El tipo de evento, que incluye información, advertencia, error, auditoría de éxito de seguridad o auditoría de fallo de seguridad.
Por ejemplo, un evento de información puede aparecer como:
Información 5/16/2018 8:41:15 AM Service Control Manager 7036 Ninguno
Un evento de advertencia puede verse como:
Advertencia 5/11/2018 10:29:47 AM Seguimiento de eventos del núcleo 1 Registro
En comparación, un evento de error puede aparecer como:
Error 5/16/2018 8:41: 15 AM Service Control Manager 7001 Ninguno
Un evento crítico puede parecerse a:
Crítico 5/11/2018 8:55: 02 AM Alimentación del núcleo 41 (63)
El tipo de información almacenada en los registros de eventos de Windows
El sistema operativo Windows registra eventos en cinco áreas: aplicación, seguridad, configuración, sistema y eventos reenviados. Windows almacena registros de eventos en el C:\WINDOWS\system32\config \ carpeta.
Los eventos de aplicación se refieren a incidentes con el software instalado en el equipo local. Si una aplicación como Microsoft Word se bloquea, el registro de eventos de Windows creará una entrada de registro sobre el problema, el nombre de la aplicación y por qué se bloqueó.
Los eventos de seguridad almacenan información basada en las directivas de auditoría del sistema Windows, y los eventos típicos almacenados incluyen intentos de inicio de sesión y acceso a recursos. Por ejemplo, el registro de seguridad almacena un registro cuando el equipo intenta verificar las credenciales de la cuenta cuando un usuario intenta iniciar sesión en un equipo.Los eventos de configuración
incluyen eventos centrados en la empresa relacionados con el control de dominios, como la ubicación de los registros después de una configuración de disco.
Los eventos del sistema se relacionan con incidentes en sistemas específicos de Windows, como el estado de los controladores de dispositivo.
Los eventos reenviados llegan de otras máquinas de la misma red cuando un administrador quiere usar un equipo que recopila varios registros.
Uso del Visor de eventos
Microsoft incluye el Visor de eventos en su sistema operativo Cliente y servidor de Windows para ver los registros de eventos de Windows. Los usuarios acceden al Visor de eventos haciendo clic en el botón Inicio e introduciendo el Visor de eventos en el campo de búsqueda. A continuación, los usuarios pueden seleccionar e inspeccionar el registro deseado.
Windows clasifica cada evento con un nivel de gravedad. Los niveles en orden de gravedad son información, advertencia, error y crítico.
La mayoría de los registros consisten en eventos basados en información. Los registros con esta entrada generalmente significan que el evento ocurrió sin incidentes o problemas. Un ejemplo de un evento de información basado en el sistema es el Evento 42, Kernel-Power, que indica que el sistema está entrando en modo de suspensión.
Los eventos de nivel de advertencia se basan en eventos particulares, como la falta de espacio de almacenamiento. Los mensajes de advertencia pueden llamar la atención sobre posibles problemas que podrían no requerir una acción inmediata. Evento 51, Disk es un ejemplo de advertencia basada en el sistema relacionada con un error de paginación en la unidad de la máquina.
Un nivel de error indica que un dispositivo puede no haber podido cargarse o funcionar de forma esperada. Evento 5719, NETLOGON es un ejemplo de error del sistema cuando un equipo no puede configurar una sesión segura con un controlador de dominio.
Los eventos de nivel crítico indican los problemas más graves. ID de evento 41, Kernel-Power es un ejemplo de un evento crítico del sistema cuando una máquina se reinicia sin un apagado limpio.
Otras herramientas para ver registros de eventos de Windows
Microsoft también proporciona la utilidad de línea de comandos wevtutil en la carpeta System32 que recupera registros de eventos, ejecuta consultas, exporta registros, archiva registros y borra registros.
Las utilidades de terceros que también funcionan con registros de eventos de Windows incluyen SolarWinds Log & Event Manager, que proporciona correlación y corrección de eventos en tiempo real, supervisión de la integridad de archivos, supervisión de dispositivos USB y detección de amenazas. Log & Event Manager recopila automáticamente registros de servidores, aplicaciones y dispositivos de red.
ManageEngine EventLog Analyzer crea informes personalizados a partir de datos de registro y envía mensajes de texto y alertas por correo electrónico en tiempo real en función de eventos específicos.
Usar PowerShell para consultar eventos
Microsoft crea registros de eventos de Windows en formato XML (lenguaje de marcado extensible) con una extensión EVTX. XML proporciona información más detallada y un formato coherente para los datos estructurados.
Los administradores pueden crear consultas XML complicadas con el cmdlet Get-WinEvent PowerShell para agregar o excluir eventos de una consulta.