El monitoreo de eventos de Windows es un aspecto esencial para mantener la salud y el rendimiento de los dispositivos de Windows y mantenerlos funcionando sin problemas. Puede supervisar los eventos de Windows utilizando los perfiles de umbral de Atera para recibir alertas en tiempo real cuando se producen eventos específicos.
Nota:
- Las alertas de eventos de Windows no se pueden posponer
- Alertas generadas por eventos de Windows no se resuelven automáticamente
- Se genera una alerta por cada combinación única de ID de suceso y fuente de suceso dentro de un periodo de tiempo de 60 minutos.
Resumen del registro de eventos de Windows
¿Qué es el registro de sucesos de Windows?
El registro de eventos de Windows es un registro detallado de los eventos que se producen en los sistemas operativos Windows, incluidos los eventos del sistema, de las aplicaciones y de seguridad.
Explicación del ID y la fuente del suceso
Cada evento de Windows tiene un ID de evento y un nombre de origen.
- ID de evento: Un identificador único para cada evento registrado en el registro de eventos de Windows, que proporciona información sobre el tipo o la acción del evento.
- Nombre de la fuente: Indica el componente de software o la aplicación que generó el par, lo que ayuda a determinar su causa raíz.
Juntos, el ID de suceso y la fuente proporcionan información contextual importante, como el tipo de suceso (información, advertencia, crítico, error), el origen, etc. Por ejemplo, el ID de evento 4624 se registra cuando un usuario inicia sesión correctamente en un dispositivo Windows. Sin embargo, este evento puede registrarse tanto cuando un usuario inicia sesión en un equipo Windows (origen = auditoría de seguridad de Microsoft Windows) como cuando el inicio de sesión se realiza de forma remota a través del Protocolo de Escritorio Remoto (origen = Microsoft Windows TerminalServices-LocalSessionManager).
Visualización de la información de eventos de Windows
La herramienta Visor de eventos se puede utilizar para ver información sobre eventos de Windows, incluyendo el ID del Evento y la Fuente mencionada anteriormente, así como el nivel del evento, descripción, hora en que ocurrió el evento, y más. Vea estas instrucciones para encontrar el Event ID y/o el Nombre de la fuente del evento correspondiente en el Visor de eventos;
Monitorizar eventos de Windows por categoría de registro
Windows organiza los registros de eventos por categoría para ayudar a los usuarios a localizar y gestionar rápidamente los eventos relevantes. Puede configurar un elemento de umbral de Windows en Atera para supervisar todos los eventos de Windows dentro de las siguientes categorías / registros.
- Eventos Aplicaciones
- Seguridad de eventos
- Configuración de eventos
- Sistemas de eventos
Configurar un elemento de umbral para supervisar eventos por categoría de registro de Windows
1. Desde Admin (en la barra lateral), haga clic en Umbrales.
Aparece la página Perfiles de umbral.
2. Seleccione el perfil al que desea añadir un elemento para supervisar los eventos de Windows, o añada un nuevo perfil. Aparece la página Editar umbral.
3. Haga clic en Nuevo elemento. Aparece la ventana Elemento umbral. 4. Haga clic en la pestaña Personalizado.
4. Puede dar al elemento umbral un "nombre amistoso", que aparecerá en las alertas (opcional).
5. En el menú desplegable Categoría, elija la categoría de registro de eventos de Windows que desea supervisar, como 'Eventos Aplicaciones', 'Eventos Seguridad', 'Eventos Configuración' o 'Eventos Sistema'. Para este ejemplo hemos seleccionado 'Eventos Seguridad'.
6. Seleccione la "Gravedad del evento" que coincida con el nivel de eventos de Microsoft para la categoría que desea supervisar. Por ejemplo, si desea recibir alertas de todos los eventos "Críticos" del registro de seguridad de Windows, seleccione el nivel de gravedad "Crítico".
7. Para excluir eventos específicos de Windows dentro de esta categoría de la generación de alertas en Atera, añada sus correspondientes ID de evento al elemento de umbral en 'Eventos a excluir'. Esto le ayudará a filtrar eventos irrelevantes o de baja prioridad;
Nota: Al configurar un elemento de umbral para eventos de Windows por categoría de registro, recopilará todos los registros de eventos del agente dentro de esa categoría de registro y, como tal, puede generar numerosas alertas. Para recibir alertas sólo de eventos específicos, seleccione la categoría "Eventos por origen" en la ventana de elementos de umbral. Esto le permitirá supervisar los eventos en función de su origen, en lugar de por categoría de registro, y activar alertas más granulares y específicas.
Supervise eventos específicos de Windows por origen y/o ID de evento
Filtrado por origen/ID de evento
Cómo funciona
Puede configurar un elemento de umbral en Atera para activar una alerta para un evento de Windows utilizando el ID de evento de Windows, la fuente de eventos, o una combinación de ambos.
ID de Evento: Cuando configure una alerta basada en el ID de Evento, recibirá una alerta cada vez que se produzca un evento de Windows con el ID(s) especificado, independientemente de la fuente. Esto es útil cuando desea monitorear eventos específicos que comparten un ID de Evento común, sin importar de dónde provienen.
Origen: Si configura una alerta basada en el Nombre de la Fuente, recibirá una alerta siempre que se produzca un evento de Windows desde la(s) fuente(s) especificada(s), independientemente del ID del Evento. Esto es útil cuando desea supervisar eventos de una fuente específica, como una aplicación o componente específico.
Fuente e ID de Evento: Cuando configure una alerta basada tanto en el Nombre de la Fuente como en el ID del Evento, sólo recibirá una alerta cuando se produzca un evento de Windows con el ID especificado desde la fuente especificada. Esto es útil cuando desea monitorear eventos específicos de una fuente particular, en lugar de todos los eventos que comparten un ID de Evento común.
Cómo encontrar el nombre de la fuente y el ID del evento
Para encontrar el Nombre de origen y el ID de evento para el evento de Windows:
1. Abra el Visor de sucesos de Windows > Navegue hasta el registro integrado o personalizado correspondiente.
2. Haga clic en el evento de Windows que desee monitorizar de la lista.
Debajo de la lista de eventos de Windows verá detalles adicionales sobre el evento, como el ID del evento, el nombre del registro, el nivel del evento, etc. en la pestaña General.
3. Haga clic en la pestaña Detalles y, a continuación, en Vista XML.
El 'Nombre del Proveedor' en la vista XML corresponde al campo 'Nombre de la Fuente' en Atera mientras que el 'EventID' en la vista XML corresponde corresponde al campo 'Event ID' en Atera.
4. Copie el Nombre del proveedor y el EventID de la vista XML y péguelos en los campos correspondientes de la ventana Elemento de umbral en Atera.
Severidad de la alerta para eventos por fuente
Atera ofrece opciones flexibles para configurar un elemento de umbral para mostrar alertas para eventos de Windows.
- Gravedad del evento de Windows: Determina cuándo activar una alerta para el evento en función del nivel de eventos de Microsoft.
- Gravedad de la Alerta: La gravedad de la alerta que se presentará en Atera.
Los siguientes niveles de eventos de Microsoft corresponden a los niveles de 'Windows Event Severity' en Atera:
Nivel de eventos de Microsoft | 'Severidad de eventos de Windows' en Atera |
Información | Información |
Aviso | Atención |
Crítico y error | Crítico |
Nota: El campo 'Gravedad de la alerta' no tiene por qué coincidir con el campo 'Gravedad de los eventos de Windows' - Esto le permite personalizar el nivel de gravedad de la alerta para que se adapte mejor a sus necesidades y prioridades.
Configurar un elemento de umbral para supervisar los eventos de Windows por origen
1. En Admin (en la barra lateral), haga clic en Umbrales.
Aparece la página Perfiles de umbral.
2. Seleccione el perfil al que desea añadir un elemento para supervisar un evento específico de Windows, o añada un nuevo perfil. Aparece la página Editar umbral.
3. Haga clic en Nuevo elemento. Aparece la ventana Elemento umbral. 4. Haga clic en la pestaña Personalizado.
4. En Categoría, seleccione Eventos por origen. A continuación, en Carpeta de origen, seleccione una categoría de registro de Windows en el menú desplegable, o seleccione "Otro" para añadir una Carpeta personalizada.
Si ha seleccionado "Otro" para añadir una carpeta/registro personalizado, deberá introducir el nombre de la carpeta/registro personalizado. Para ello, siga estos pasos:
- Abra el Visor de sucesos de Windows > haga clic con el botón derecho en el registro de sucesos > haga clic en Propiedades.
- Se abre la ventana Propiedades del registro. Copie el "Nombre completo" del registro.
- Pegue el nombre en el campo Carpeta personalizada de Atera.
6. Seleccione el nivel de "Seguridad de eventos de Windows" para el evento de Windows en el menú desplegable.
7. Defina el nivel de "Gravedad de alerta" para la alerta correspondiente que se generará en Atera. Puede elegir coincidir con el nivel de evento de Microsoft o anularlo con su nivel de gravedad de alerta preferido.
8. Ingrese el Nombre de Origen y/o ID de Evento para el evento de Windows que desea monitorear. Para encontrar el Nombre de Origen y/o ID de Evento, siga estos pasos.
Nota: Puede añadir varios Nombres de origen, ID de evento o una combinación de ambos separando cada uno con una coma.
9. Adjunte un script de autocuración (opcional). Más información
10. Haga clic en Añadir.
Ya está todo listo. Todas las alertas generadas relacionadas con eventos de Windows aparecerán en la página Alertas y en tu panel de control.