Cargando



Cómo usar el visor de eventos en Windows Server 2016

En este tutorial se hará una explicación completa del visor de eventos y sucesos en un entorno de Windows Server 2016. Lo usaremos en modo gráfico y Power Shell.


ago 11 2016 10:24
Avanzado
ago 11 2016 15:46

De tu interés 👌

Una de las herramientas más útiles que podemos tener como administradores o personas que interactuamos con los servidores en nuestro dominio es el visor de eventos. Gracias al visor de eventos tenemos a mano toda la información relacionada con los acontecimientos que ocurren en nuestros servidores.

 

Puedes también leer los siguiente tutoriales que son de utilidad para un administrador que controla y monitoriza en condiciones:

 

¿Qué es el visor de eventos en Windows Server?
El visor de eventos es un complemento de la consola de Microsoft el cual nos permite llevar una gestión centralizada sobre cada suceso que ocurre en el sistema en diferentes ámbitos como registros de Windows, seguridad, etc. Por eso es de gran utilidad para tener un cierto control de lo que ocurre en la organización.

 

 

1. Cómo abrir el visor de eventos en Windows Server 2016


Para abrir el visor de eventos en Windows Server 2016 contamos con dos opciones:

 

Opción 1:

 

En esta opción utilizaremos el comando Ejecutar, para abrir este comando usaremos la combinación de teclas:

 

 

Imagen enviada + R

 

 

Y allí ingresaremos el término:

eventvwr
Y aquí termina esta opción.

 

Opción2:

 

Aquí usaremos el Administrador del servidor. Ingresamos al menú Herramientas y seleccionamos la opción Visor de eventos.

 

Da igual la opción que sigamos, llegaremos al mismo lugar.

 

 

2. Entorno del Visor de eventos en Windows Server 2016


Una vez abramos el visor de eventos veremos la siguiente ventana:

 

visor_eventos_1.jpg

 

Dentro del visor de eventos contamos con las siguientes opciones:

 

Vistas personalizadas

Mediante esta opción podremos crear vistas de acuerdo a nuestras necesidades y así mismo contamos con la opción de ver los eventos que ocurren con los roles del servidor tal como el DNS, el escritorio remoto, etc.

 

 

Para ver los eventos de cualquiera de estos roles simplemente damos doble clic y veremos cada evento asociado al rol.

 

 

 

Registros de Windows

Es quizás la opción más usada por todos nosotros ya que dentro de esta opción tenemos eventos asociados a temas como: Seguridad, Aplicación, Sistema, Instalación, etc.

 

 

Podemos ver en el panel central el tipo de evento, la cantidad de eventos que contiene y el tamaño del mismo. Como podemos ver en la ficha Registro de Windows podemos visualizar eventos para diferentes categorías que son:

 

Aplicación
Incluye los eventos generados por aplicaciones o programas.

 

Seguridad
Estos eventos están relacionados con factores como los inicios de sesión, creación, edición o eliminación de archivos y otros parámetros.

 

Instalación
Este evento registra todos los eventos relacionados con instalación de aplicaciones.

 

Sistema
En este campo podemos observar todos los eventos asociados a los componentes del sistema de Windows.

 

Eventos reenviados
Dentro de este campo podemos almacenar eventos registrados en equipos remotos.

 

Para visualizar los eventos dentro de los registros de Windows basta con dar doble clic en el área que deseemos y allí se desplegarán los respectivos eventos.

 

 

 

Registros de aplicaciones y servicios

Dentro de este campo podemos encontrar todos los eventos relacionados con los servicios del dominio y las aplicaciones del mismo como Internet Explorer, Windows PowerShell DNS, etc.

 

 

De la misma manera para ver los eventos simplemente damos doble clic sobre el evento a revisar.

 

 

 

Suscripciones

En este campo veremos todos los eventos asociados a las suscripciones que tengamos asociadas con Microsoft.

 

Como hemos visto tenemos diferentes opciones a la hora de visualizar un evento, ahora vamos a revisar de qué manera está compuesto un evento.

 

 

3. Comprender un evento en el visor de eventos de Windows Server 2016


Para este caso vamos a ver los eventos dentro del grupo “Registros de Windows”, tomaremos un evento del grupo Seguridad.

 

 

Al seleccionar cualquier evento podemos ver en la parte inferior una descripción detallada acerca del evento, tenemos lo siguiente:

  • Nombre de registro: Indica el grupo al cual pertenece el evento.
  • Origen: Nos indica de donde se ha originado el evento.
  • ID del evento: Nos indica el identificador del evento para llevar el control de los mismos.
  • Nivel: En esta opción podemos ver que tipo de evento es.
  • Usuario: Podemos ver el usuario que ha generado el evento.
  • Registrado: Indica la fecha y hora que se presentó el evento.
  • Categoría de tareas: Indica la acción que fue realizada en el evento.
  • Equipo: Hace referencia al equipo donde se ha presentado el evento.

 

 

4. Gestionar tareas con los eventos


Ya que sabemos como visualizar un archivo vamos a ver algunas tareas que podemos realizar para el uso de los mismos. Podemos ver en el costado derecho que contamos con algunas alternativas para mejorar la gestión de los eventos. Vamos a ver el filtrado de archivos.

 

Para crear un filtro de archivos seleccionamos la opción Filtrar registro actual y veremos una nueva ventana, aquí podemos definir las condiciones que deseamos para el filtrado de nuestros eventos. Para este caso buscaremos todos los eventos con el ID 4634 en las últimas 12 horas.

 

visor_eventos_9.jpg

 

Pulsamos Aceptar y veremos los respectivos resultados.

 

 

Como vemos también podemos filtrar los eventos de acuerdo a su nivel o indicando de cuál usuario ha sido el evento.

 

 

5. Cómo crear vistas personalizadas


Es posible que en algún momento deseemos crear nuestras propias vistas de algún evento. Para ello vamos a seleccionar la opción Crear vista personalizada y veremos que se abre otra ventana. Allí ingresaremos los parámetros con los cuales deseamos crear la vista, podemos especificar IDs de eventos, nivel de eventos, etc. En este caso seleccionamos los niveles Advertencia e Información.

 

visor_eventos_11.jpg

 

Pulsamos Aceptar y debemos asignar un nombre a nuestra vista personalizada:

 

visor_eventos_12.jpg

 

Ahora podremos ver nuestra nueva vista llamada Solvetic en el menú de vistas personalizadas con los respectivos resultados.

 

 

Las demás opciones que tenemos dentro del visor de eventos son:

  • Buscar: Nos permite buscar un evento o palabra clave.
  • Vaciar registro: Nos permite borrar todos los eventos de un grupo.
  • Importar vista personalizada: Podemos importar archivos en formato HTML para agregar a las consultas.
  • Exportar vista personalizada: Podemos exportar los datos de la vista personalizada en formato XML.
  • Propiedades: Nos permite ver las propiedades de un determinado evento.

 

Como vemos con el visor de eventos contamos con una opción de administrar todo lo que sucede, en cualquier momento, dentro del servidor.

 

 

6. Usar Windows PowerShell para ver los eventos en Windows Server 2016


Hasta ahora hemos visto como usar el visor de eventos en modo gráfico con sus múltiples opciones pero ahora vamos a revisar cómo podemos ver los eventos usando Windows PowerShell. Con Windows PowerShell tendremos a mano diversas opciones para visualizar los eventos acontecidos en Windows Server 2016.

 

Obtener la lista de eventos
Para obtener el listado de eventos registrados en Windows Server 2016 usaremos el cmdlet:
Get-EventLog -list
Y podremos ver de manera detallada el listado de eventos indicando tamaño, nivel de evento, cantidad de eventos, etc.

 

 

 

Obtener eventos de un registro de sucesos específico
Para visualizar los eventos de un grupo determinado debemos ingresar el siguiente cmdlet:
Get-EventLog -list | Where-Object {$_.logdisplayname -eq "Nombre_Grupo"}
Para este ejemplo vamos a ver los eventos dentro del grupo DNS Server por lo cual ingresaremos lo siguiente:
Get-EventLog -list | Where-Object {$_.logdisplayname -eq "DNS Server"}

 

 

Obtener los últimos eventos de un grupo determinado
Para obtenerlos últimos eventos que se han presentado en un grupo específico vamos a usar la siguiente sintaxis:
Get-EventLog Nombre_grupo -newest Cantidad_de_eventos
Para este caso veremos los últimos 5 eventos que han acontecido en el grupo System, ingresamos lo siguiente:
Get-EventLog system -newest 5

 

 

Ver los eventos de un grupo
Para ver y analizar todos los eventos de un grupo determinado usaremos el siguiente cmdlet:
Get-EventLog Nombre_Grupo
Para este caso vamos a ver los eventos que están dentro del grupo System, por ello ingresaremos lo siguiente:
Get-EventLog system

 

 

Como obtener información específica de los últimos eventos de un grupo
Con el cmdlet:
Get-EventLog Nombre_Grupo -newest Cantidad_de_eventos | Format-List
Podemos obtener información detallada de los últimos eventos de un grupo en especial. Vamos a ver la información de los últimos 6 eventos del grupo Application.
Get-EventLog Application -newest 6 | Format-List

 

 

Ver los eventos de un ID específico
Si deseamos ver los eventos con un ID determinado en Windows PowerShell debemos usar el siguiente cmdlet:
Get-EventLog "Windows PowerShell" | Where-Object {$_.EventID -eq ID_EVENTO}
Nota
El campo “Windows PowerShell puede ser modificado por el valor necesario, DNS, Active Directory, etc.

 

Para este ejemplo vamos a visualizar todos los eventos con el ID 403:

Get-EventLog "Windows Powerhell" | Where-Object {$_.EventID -eq 403}

 

 

Parámetros adicionales en Windows PowerShell
Adicional a lo que hemos visto existe una opción que podemos agregar para visualizar y gestionar los eventos esta es el parámetro Out-GridView. Podemos usar el siguiente ejemplo:
Get-EventLog system  |  Out-GridView
Veremos que se despliega la siguiente ventana donde podemos editar criterios para los eventos.

 

visor_eventos_20.jpg

 

 

Como podemos observar contamos con alternativas interesantes usando Windows PowerShell para la visualización de los eventos en Windows Server 2016.

 

 

7. IDs a tener en cuenta


Algunos de los IDs más importantes que podemos usar en la administración de nuestros servidores son los siguientes:

 

4774 Se ha asignado una cuenta de inicio de sesión.
4775 No se pudo asignar una cuenta de inicio de sesión.
4776 El equipo ha intentado validar las credenciales de una cuenta.
4777 Error en el controlador de dominio validar las credenciales para una cuenta.
4783 Se creó un grupo de aplicaciones básicas.
4784 Un grupo de aplicaciones básicas cambió.
4785 Se ha agregado un miembro a un grupo de aplicaciones básicas.
4786 Se ha quitado un miembro de un grupo de aplicaciones básicas.
4787 No se agregó a un grupo de aplicaciones básicas.
4788 Se quitó no miembro de un grupo de aplicaciones básicas.
4789 Se ha eliminado un grupo de aplicaciones básicas.
4790 Se creó un grupo de consulta LDAP.
4791 Un grupo de aplicaciones básicas cambió.
4792 Se ha eliminado un grupo de consulta LDAP.
4741 Se creó una cuenta de equipo.
4742 Se ha modificado una cuenta de equipo.
4743 Se ha eliminado una cuenta de equipo.
4744 Se creó un grupo local con seguridad deshabilitada.
4745 Se cambió un grupo local con seguridad deshabilitada.
4746 Se ha agregado un miembro a un grupo local con seguridad deshabilitada.
4747 Se ha quitado un miembro de un grupo local con seguridad deshabilitada.
4748 Se ha eliminado un grupo local con seguridad deshabilitada.
4749 Se creó un grupo global con seguridad deshabilitada.
4750 Se cambió un grupo global con seguridad deshabilitada.
4751 Se ha agregado un miembro a un grupo global con seguridad deshabilitada.
4752 Se ha quitado un miembro de un grupo global con seguridad deshabilitada.
4753 Se ha eliminado un grupo global con seguridad deshabilitada.
4759 Se creó un grupo universal con seguridad deshabilitada.
4760 Se ha modificado un grupo universal con seguridad deshabilitada.
4761 Se ha agregado un miembro a un grupo universal con seguridad deshabilitada.
4762 Se ha quitado un miembro de un grupo universal con seguridad deshabilitada.
4720 Se creó una cuenta de usuario.
4722 Se ha habilitado una cuenta de usuario.
4723 Se ha intentado cambiar la contraseña de la cuenta.
4724 Se intentó restablecer la contraseña de la cuenta.
4725 Se ha deshabilitado una cuenta de usuario.
4726 Se ha eliminado una cuenta de usuario.
4738 Una cuenta de usuario ha cambiado.
4740 Se ha bloqueado una cuenta de usuario
4689 Un proceso ha terminado.
4928 Se ha establecido un contexto de nombres de origen de réplica de Active Directory.
4929 Un contexto de nombres de origen de réplica de Active Directory se ha quitado.
4930 Se ha modificado un contexto de nombres de origen de réplica de Active Directory.
4931 Se ha modificado un contexto de nombres de destino de réplica de Active Directory.
4934 Atributos de un objeto de Active Directory se han replicado.
4935 Error de replicación comienza.
4936 Error de replicación finaliza.
4937 Se quitó un objeto persistente de una réplica.

 

Hasta aquí llega el tutorial, hemos podido comprobar lo importante que es saber manejar el visor de eventos de Windows, ya que nos facilitará obtener información y tener un control dentro de la organización. A continuación dejamos un tutorial muy completo y útil:

 


¿Te ayudó este Tutorial?


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

X