Una de las herramientas más útiles que podemos tener como administradores o personas que interactuamos con los servidores en nuestro dominio es el visor de eventos. Gracias al visor de eventos tenemos a mano toda la información relacionada con los acontecimientos que ocurren en nuestros servidores.
Puedes también leer los siguiente tutoriales que son de utilidad para un administrador que controla y monitoriza en condiciones:
1. Cómo abrir el visor de eventos en Windows Server 2016
Para abrir el visor de eventos en Windows Server 2016 contamos con dos opciones:
Opción 1:
En esta opción utilizaremos el comando Ejecutar, para abrir este comando usaremos la combinación de teclas:
+ R
Y allí ingresaremos el término:
eventvwrY aquí termina esta opción.
Opción2:
Aquí usaremos el Administrador del servidor. Ingresamos al menú Herramientas y seleccionamos la opción Visor de eventos.
Da igual la opción que sigamos, llegaremos al mismo lugar.
2. Entorno del Visor de eventos en Windows Server 2016
Una vez abramos el visor de eventos veremos la siguiente ventana:
Dentro del visor de eventos contamos con las siguientes opciones:
Mediante esta opción podremos crear vistas de acuerdo a nuestras necesidades y así mismo contamos con la opción de ver los eventos que ocurren con los roles del servidor tal como el DNS, el escritorio remoto, etc.
Para ver los eventos de cualquiera de estos roles simplemente damos doble clic y veremos cada evento asociado al rol.
Es quizás la opción más usada por todos nosotros ya que dentro de esta opción tenemos eventos asociados a temas como: Seguridad, Aplicación, Sistema, Instalación, etc.
Podemos ver en el panel central el tipo de evento, la cantidad de eventos que contiene y el tamaño del mismo. Como podemos ver en la ficha Registro de Windows podemos visualizar eventos para diferentes categorías que son:
Para visualizar los eventos dentro de los registros de Windows basta con dar doble clic en el área que deseemos y allí se desplegarán los respectivos eventos.
Dentro de este campo podemos encontrar todos los eventos relacionados con los servicios del dominio y las aplicaciones del mismo como Internet Explorer, Windows PowerShell DNS, etc.
De la misma manera para ver los eventos simplemente damos doble clic sobre el evento a revisar.
En este campo veremos todos los eventos asociados a las suscripciones que tengamos asociadas con Microsoft.
Como hemos visto tenemos diferentes opciones a la hora de visualizar un evento, ahora vamos a revisar de qué manera está compuesto un evento.
3. Comprender un evento en el visor de eventos de Windows Server 2016
Para este caso vamos a ver los eventos dentro del grupo “Registros de Windows”, tomaremos un evento del grupo Seguridad.
Al seleccionar cualquier evento podemos ver en la parte inferior una descripción detallada acerca del evento, tenemos lo siguiente:
- Nombre de registro: Indica el grupo al cual pertenece el evento.
- Origen: Nos indica de donde se ha originado el evento.
- ID del evento: Nos indica el identificador del evento para llevar el control de los mismos.
- Nivel: En esta opción podemos ver que tipo de evento es.
- Usuario: Podemos ver el usuario que ha generado el evento.
- Registrado: Indica la fecha y hora que se presentó el evento.
- Categoría de tareas: Indica la acción que fue realizada en el evento.
- Equipo: Hace referencia al equipo donde se ha presentado el evento.
4. Gestionar tareas con los eventos
Ya que sabemos como visualizar un archivo vamos a ver algunas tareas que podemos realizar para el uso de los mismos. Podemos ver en el costado derecho que contamos con algunas alternativas para mejorar la gestión de los eventos. Vamos a ver el filtrado de archivos.
Para crear un filtro de archivos seleccionamos la opción Filtrar registro actual y veremos una nueva ventana, aquí podemos definir las condiciones que deseamos para el filtrado de nuestros eventos. Para este caso buscaremos todos los eventos con el ID 4634 en las últimas 12 horas.
Pulsamos Aceptar y veremos los respectivos resultados.
Como vemos también podemos filtrar los eventos de acuerdo a su nivel o indicando de cuál usuario ha sido el evento.
5. Cómo crear vistas personalizadas
Es posible que en algún momento deseemos crear nuestras propias vistas de algún evento. Para ello vamos a seleccionar la opción Crear vista personalizada y veremos que se abre otra ventana. Allí ingresaremos los parámetros con los cuales deseamos crear la vista, podemos especificar IDs de eventos, nivel de eventos, etc. En este caso seleccionamos los niveles Advertencia e Información.
Pulsamos Aceptar y debemos asignar un nombre a nuestra vista personalizada:
Ahora podremos ver nuestra nueva vista llamada Solvetic en el menú de vistas personalizadas con los respectivos resultados.
Las demás opciones que tenemos dentro del visor de eventos son:
- Buscar: Nos permite buscar un evento o palabra clave.
- Vaciar registro: Nos permite borrar todos los eventos de un grupo.
- Importar vista personalizada: Podemos importar archivos en formato HTML para agregar a las consultas.
- Exportar vista personalizada: Podemos exportar los datos de la vista personalizada en formato XML.
- Propiedades: Nos permite ver las propiedades de un determinado evento.
Como vemos con el visor de eventos contamos con una opción de administrar todo lo que sucede, en cualquier momento, dentro del servidor.
6. Usar Windows PowerShell para ver los eventos en Windows Server 2016
Hasta ahora hemos visto como usar el visor de eventos en modo gráfico con sus múltiples opciones pero ahora vamos a revisar cómo podemos ver los eventos usando Windows PowerShell. Con Windows PowerShell tendremos a mano diversas opciones para visualizar los eventos acontecidos en Windows Server 2016.
Get-EventLog -list | Where-Object {$_.logdisplayname -eq "Nombre_Grupo"}
Para este ejemplo vamos a ver los eventos dentro del grupo DNS Server por lo cual ingresaremos lo siguiente:
Get-EventLog -list | Where-Object {$_.logdisplayname -eq "DNS Server"}
Get-EventLog Nombre_grupo -newest Cantidad_de_eventosPara este caso veremos los últimos 5 eventos que han acontecido en el grupo System, ingresamos lo siguiente:
Get-EventLog system -newest 5
Get-EventLog "Windows PowerShell" | Where-Object {$_.EventID -eq ID_EVENTO}
Para este ejemplo vamos a visualizar todos los eventos con el ID 403:
Get-EventLog "Windows Powerhell" | Where-Object {$_.EventID -eq 403}
Get-EventLog system | Out-GridViewVeremos que se despliega la siguiente ventana donde podemos editar criterios para los eventos.
Como podemos observar contamos con alternativas interesantes usando Windows PowerShell para la visualización de los eventos en Windows Server 2016.
7. IDs a tener en cuenta
Algunos de los IDs más importantes que podemos usar en la administración de nuestros servidores son los siguientes:
4774 Se ha asignado una cuenta de inicio de sesión.
4775 No se pudo asignar una cuenta de inicio de sesión.
4776 El equipo ha intentado validar las credenciales de una cuenta.
4777 Error en el controlador de dominio validar las credenciales para una cuenta.
4783 Se creó un grupo de aplicaciones básicas.
4784 Un grupo de aplicaciones básicas cambió.
4785 Se ha agregado un miembro a un grupo de aplicaciones básicas.
4786 Se ha quitado un miembro de un grupo de aplicaciones básicas.
4787 No se agregó a un grupo de aplicaciones básicas.
4788 Se quitó no miembro de un grupo de aplicaciones básicas.
4789 Se ha eliminado un grupo de aplicaciones básicas.
4790 Se creó un grupo de consulta LDAP.
4791 Un grupo de aplicaciones básicas cambió.
4792 Se ha eliminado un grupo de consulta LDAP.
4741 Se creó una cuenta de equipo.
4742 Se ha modificado una cuenta de equipo.
4743 Se ha eliminado una cuenta de equipo.
4744 Se creó un grupo local con seguridad deshabilitada.
4745 Se cambió un grupo local con seguridad deshabilitada.
4746 Se ha agregado un miembro a un grupo local con seguridad deshabilitada.
4747 Se ha quitado un miembro de un grupo local con seguridad deshabilitada.
4748 Se ha eliminado un grupo local con seguridad deshabilitada.
4749 Se creó un grupo global con seguridad deshabilitada.
4750 Se cambió un grupo global con seguridad deshabilitada.
4751 Se ha agregado un miembro a un grupo global con seguridad deshabilitada.
4752 Se ha quitado un miembro de un grupo global con seguridad deshabilitada.
4753 Se ha eliminado un grupo global con seguridad deshabilitada.
4759 Se creó un grupo universal con seguridad deshabilitada.
4760 Se ha modificado un grupo universal con seguridad deshabilitada.
4761 Se ha agregado un miembro a un grupo universal con seguridad deshabilitada.
4762 Se ha quitado un miembro de un grupo universal con seguridad deshabilitada.
4720 Se creó una cuenta de usuario.
4722 Se ha habilitado una cuenta de usuario.
4723 Se ha intentado cambiar la contraseña de la cuenta.
4724 Se intentó restablecer la contraseña de la cuenta.
4725 Se ha deshabilitado una cuenta de usuario.
4726 Se ha eliminado una cuenta de usuario.
4738 Una cuenta de usuario ha cambiado.
4740 Se ha bloqueado una cuenta de usuario
4689 Un proceso ha terminado.
4928 Se ha establecido un contexto de nombres de origen de réplica de Active Directory.
4929 Un contexto de nombres de origen de réplica de Active Directory se ha quitado.
4930 Se ha modificado un contexto de nombres de origen de réplica de Active Directory.
4931 Se ha modificado un contexto de nombres de destino de réplica de Active Directory.
4934 Atributos de un objeto de Active Directory se han replicado.
4935 Error de replicación comienza.
4936 Error de replicación finaliza.
4937 Se quitó un objeto persistente de una réplica.
Hasta aquí llega el tutorial, hemos podido comprobar lo importante que es saber manejar el visor de eventos de Windows, ya que nos facilitará obtener información y tener un control dentro de la organización. A continuación dejamos un tutorial muy completo y útil: