Visor de eventos

Component of Microsoft's Windows NT operating system

El Visor de eventos es un componente del sistema operativo Windows NT de Microsoft que permite a los administradores y usuarios ver los registros de eventos , generalmente extensiones de archivo y , en una máquina local o remota. Las aplicaciones y los componentes del sistema operativo pueden utilizar este servicio de registro centralizado para informar sobre los eventos que han tenido lugar, como un error al iniciar un componente o al completar una acción. En Windows Vista , Microsoft renovó el sistema de eventos. ^[1] .evt.evtx

Debido a que el Visor de eventos informa de forma rutinaria sobre errores menores de inicio y procesamiento (que, de hecho, no dañan ni dañan la computadora), los estafadores de soporte técnico utilizan con frecuencia el software para engañar a la víctima y hacerle creer que su computadora contiene errores críticos que requieren soporte técnico inmediato. ^[2] Un ejemplo es el campo "Eventos administrativos" en "Vistas personalizadas", que puede tener más de mil errores o advertencias registrados en un período de un mes.

Descripción general

Windows NT ha incluido registros de eventos desde su lanzamiento en 1993.

El Visor de eventos utiliza identificadores de eventos para definir los eventos de identificación única que puede encontrar una computadora Windows. Por ejemplo, cuando falla la autenticación de un usuario , el sistema puede generar el identificador de evento 672.

Windows NT 4.0 agregó soporte para definir "fuentes de eventos" (es decir, la aplicación que creó el evento) y realizar copias de seguridad de los registros.

Windows 2000 agregó la capacidad para que las aplicaciones creen sus propias fuentes de registro además de los tres archivos de registro definidos por el sistema: "Sistema", "Aplicación" y "Seguridad". Windows 2000 también reemplazó el Visor de eventos de NT4 con un complemento Microsoft Management Console (MMC) .

Windows Server 2003 agregó las AuthzInstallSecurityEventSource()llamadas API para que las aplicaciones pudieran registrarse en los registros de eventos de seguridad y escribir entradas de auditoría de seguridad. ^[3]

Las versiones de Windows basadas en el núcleo de Windows NT 6.0 ( Windows Vista y Windows Server 2008 ) ya no tienen un límite de 300 megabytes para su tamaño total. Antes de NT 6.0, el sistema abría los archivos en disco como archivos asignados a la memoria en el espacio de memoria del núcleo, que utilizaba los mismos grupos de memoria que otros componentes del núcleo.

Los archivos de registro del Visor de eventos con extensión de nombre de archivo evtx normalmente aparecen en un directorio comoC:\Windows\System32\winevt\Logs\

Interfaz de línea de comandos

Windows XP introdujo un conjunto de tres herramientas de interfaz de línea de comandos , útiles para la automatización de tareas:

• eventquery.vbs– Script oficial para consultar, filtrar y generar resultados basados ​​en los registros de eventos. ^[4] Descontinuado después de XP.
• eventcreate– un comando (continúa en Vista y 7) para colocar eventos personalizados en los registros. ^[5]
• eventtriggers– un comando para crear tareas controladas por eventos. ^[6] Descontinuado después de XP, reemplazado por la función "Adjuntar tarea a este evento", es decir, desde dentro de la lista de eventos, Right-Clicken un solo evento y seleccionar del menú emergente.

Windows Vista

El Visor de eventos consiste en una arquitectura de registro y seguimiento de eventos reescrita en Windows Vista. ^[1] Se ha reescrito en torno a un formato de registro XML estructurado y un tipo de registro designado para permitir que las aplicaciones registren eventos con mayor precisión y para facilitar que los técnicos de soporte y los desarrolladores interpreten los eventos.

La representación XML del evento se puede ver en la pestaña Detalles de las propiedades de un evento. También es posible ver todos los eventos potenciales, sus estructuras, los publicadores de eventos registrados y su configuración mediante la utilidad wevtutil , incluso antes de que se activen los eventos.

Hay una gran cantidad de diferentes tipos de registros de eventos, incluidos los registros administrativos, operativos, analíticos y de depuración. Al seleccionar el nodo Registros de aplicaciones en el panel Ámbito , se revelan numerosos registros de eventos nuevos subcategorizados, incluidos muchos etiquetados como registros de diagnóstico.

Los eventos analíticos y de depuración que son de alta frecuencia se guardan directamente en un archivo de seguimiento, mientras que los eventos administrativos y operativos son lo suficientemente poco frecuentes como para permitir un procesamiento adicional sin afectar el rendimiento del sistema, por lo que se envían al servicio de registro de eventos.

Los eventos se publican de forma asincrónica para reducir el impacto en el rendimiento de la aplicación de publicación de eventos . Los atributos de los eventos también son mucho más detallados y muestran las propiedades EventID, Level, Task, Opcode y Word.

Los usuarios pueden filtrar los registros de eventos por uno o más criterios o por una expresión XPath 1.0 limitada , y se pueden crear vistas personalizadas para uno o más eventos. El uso de XPath como lenguaje de consulta permite ver registros relacionados únicamente con un subsistema determinado o un problema con un componente determinado, archivar eventos seleccionados y enviar seguimientos sobre la marcha a los técnicos de soporte.

Filtrado mediante XPath 1.0

1. Abrir el registro de eventos de Windows
2. Expandir registros de Windows
3. Seleccione el archivo de registro que le interese (en el ejemplo siguiente, se utiliza el registro de eventos de seguridad )
4. Haga clic derecho en el Registro de eventos y seleccione Filtrar registro actual...
5. Cambiar la pestaña seleccionada de Filtro a XML
6. Marque la casilla para Editar consulta manualmente
7. Pegue la consulta en el cuadro de texto. A continuación, se muestran ejemplos de consultas.

A continuación se muestran ejemplos de filtros personalizados simples para el nuevo Registro de eventos de ventana:

1. Seleccionar todos los eventos en el Registro de eventos de seguridad donde el nombre de cuenta involucrado (TargetUserName) es "JUser"

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>

2. Seleccionar todos los eventos en el Registro de eventos de seguridad donde cualquier nodo de datos de la sección EventData sea la cadena "JUser"

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>

3. Seleccionar todos los eventos en el Registro de eventos de seguridad donde cualquier nodo de datos de la sección EventData sea "JUser" o "JDoe"

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>

4. Seleccionar todos los eventos en el Registro de eventos de seguridad donde cualquier nodo de datos de la sección EventData sea "JUser" y el ID de evento sea "4471"

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>

5. Ejemplo del mundo real para un paquete llamado Goldmine que tiene dos @Names

   <QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

Advertencias:

• Existen limitaciones en la implementación de XPath por parte de Microsoft ^[7]
• Las consultas que utilizan funciones de cadena XPath generarán un error ^[8]

Suscriptores de eventos

Los principales suscriptores de eventos incluyen el servicio Event Collector y Task Scheduler 2.0. El servicio Event Collector puede reenviar automáticamente registros de eventos a otros sistemas remotos que ejecuten Windows Vista , Windows Server 2008 o Windows Server 2003 R2 según un cronograma configurable. Los registros de eventos también se pueden ver de forma remota desde otras computadoras o se pueden registrar y monitorear de forma centralizada varios registros de eventos sin un agente y administrarlos desde una sola computadora. Los eventos también se pueden asociar directamente con tareas, que se ejecutan en el Programador de tareas rediseñado y desencadenan acciones automatizadas cuando se producen eventos específicos.

Véase también

• Sistema de archivos de registro común (CLFS)
• Lista de componentes de Microsoft Windows
• Consola de administración de Microsoft
• Estafa de soporte técnico

Referencias

1. "Nuevas herramientas para la gestión de eventos en Windows Vista". TechNet . Microsoft . Noviembre de 2006.
2. Anderson, Nate (4 de octubre de 2012). ""Te estoy llamando desde Windows": Un estafador de soporte técnico llama a Ars Technica". Ars Technica .
3. "Función AuthzInstallSecurityEventSource". MSDN . Microsoft . Consultado el 5 de octubre de 2007 .
4. LLC), Tara Meyer (Aquent. "Eventquery.vbs". docs.microsoft.com .
5. LLC), Tara Meyer (Aquent. "Eventcreate". docs.microsoft.com .
6. LLC), Tara Meyer (Aquent. "Desencadenadores de eventos". docs.microsoft.com .
7. "Implementación y limitaciones de XPath 1.0 de Microsoft en el registro de eventos de Windows". MSDN . Microsoft . Consultado el 7 de agosto de 2009 .
8. "Script de PowerShell para filtrar eventos mediante una consulta Xpath" . Consultado el 20 de septiembre de 2011 .

Enlaces externos

• Fuentes oficiales:
  • Visor de eventos: Inside Show en Microsoft Learn
  • Eventos y errores (Windows Server 2008) en Microsoft Learn