Contenidos
Minería de procesos de registro de eventos
El tutorial está disponible en dos partes, con esta primera parte cubriendo temas centrados en lo que necesitas saber como principiante sobre los Registros de Eventos y por qué necesitan ser vigilados. Si eres un administrador experimentado o un ingeniero de redes, pasa a la parte II y aprende a configurar la monitorización de los Registros de Eventos.
Los registros de eventos son archivos locales que registran todos los ‘sucesos’ en el sistema e incluyen el acceso, la eliminación, la adición de un archivo o una aplicación, la modificación de la fecha del sistema, el apagado del sistema, el cambio de la configuración del sistema, etc. Los eventos se clasifican en las categorías Sistema, Seguridad, Aplicación, Servicio de Directorio, Servidor DNS y Replicación DFS. Los registros de Servicio de Directorio, Servidor DNS y Replicación DFS son aplicables sólo a Active Directory. Los eventos relacionados con la seguridad del sistema o de los datos se denominan eventos de seguridad y su archivo de registro se llama Registros de seguridad.
Los registros de eventos se clasifican a grandes rasgos en unas pocas categorías por defecto basadas en el componente en cuestión. Los diferentes componentes para los que se registran eventos incluyen el sistema, la seguridad del sistema, las aplicaciones alojadas en el sistema, etc. Algunas aplicaciones registran los eventos en una categoría personalizada en lugar de registrarlos en la categoría por defecto de Aplicaciones.
Ubicación del registro de eventos de Windows
Un registro de eventos es un archivo que contiene información sobre el uso y las operaciones de los sistemas operativos, las aplicaciones o los dispositivos. Los profesionales de la seguridad o los sistemas de seguridad automatizados, como los SIEM, pueden acceder a estos datos para gestionar la seguridad, el rendimiento y solucionar problemas de TI.
En la empresa moderna, con un número grande y creciente de dispositivos, aplicaciones y servicios de punto final, ya no es posible gestionar la seguridad y las operaciones de TI sólo con la supervisión de la red. Los registros de eventos, y en particular los registros de puntos finales, son de importancia crítica.
Los eventos que se producen en los dispositivos de los usuarios finales o en los sistemas de TI se suelen registrar en archivos de registro. Los sistemas operativos registran los eventos mediante archivos de registro. Cada sistema operativo utiliza sus propios archivos de registro, y las aplicaciones y los dispositivos de hardware también generan registros. Los equipos de seguridad pueden utilizar los registros de seguridad para rastrear a los usuarios en la red corporativa, identificar actividades sospechosas y detectar vulnerabilidades.
La mayoría de las organizaciones de seguridad y TI descubren que los sistemas generan más información de registro de la que pueden procesar. Las herramientas de gestión de eventos y registros ayudan a analizar los registros, a supervisar los eventos importantes registrados en los registros y a aprovecharlos para identificar e investigar los incidentes de seguridad.
Win32 escribe en el registro de eventos
Muchas aplicaciones registran errores y eventos en registros de errores propietarios, cada uno con su propio formato e interfaz de usuario. Los datos de las distintas aplicaciones no se pueden fusionar fácilmente en un informe completo, lo que obliga a los administradores de sistemas o a los representantes del servicio técnico a consultar diversas fuentes para diagnosticar los problemas.
El registro de eventos proporciona una forma estándar y centralizada para que las aplicaciones (y el sistema operativo) registren eventos importantes de software y hardware. El servicio de registro de eventos registra eventos de varias fuentes y los almacena en una única colección llamada registro de eventos. El Visor de Eventos le permite ver los registros; la interfaz de programación también le permite examinar los registros.
Visor de eventos del servidor de Windows
Los registros de eventos son archivos especiales que registran eventos significativos en su ordenador, como cuando un usuario se conecta al ordenador o cuando un programa encuentra un error. Cada vez que se producen este tipo de eventos, Windows registra el evento en un registro de eventos. Los usuarios pueden encontrar los detalles de los registros de eventos útiles cuando solucionan problemas con Windows y otros programas.
A diferencia del syslog de UNIX, el registro de eventos de Microsoft no es un archivo de texto y es imposible verlo con editores de texto simples. El registro de eventos de Microsoft Windows es un archivo binario que consta de registros especiales: eventos de Windows.
Microsoft Windows ejecuta el servicio de registro de eventos para gestionar los registros de eventos, configurar la publicación de eventos y realizar operaciones en los registros. El servicio de registro de eventos de Windows expone una API especial, que permite a las aplicaciones mantener y gestionar los registros de eventos.
El registro de eventos de Windows se introdujo en el sistema operativo Windows NT (versión 3.1) en 1993. Esta edición de Windows venía con tres registros de Windows: Registro de eventos de la aplicación, Registro de eventos del sistema y Registro de eventos de seguridad. Las versiones modernas de Windows vienen con más de un centenar de registros de eventos de Windows, y las aplicaciones de terceros pueden crear e integrar en el registro de Windows sus propios registros de eventos.