Visualizzatore eventi

Che cos'è il Visualizzatore eventi?

Il Visualizzatore eventi è uno strumento del sistema operativo Microsoft Windows che fornisce un registro completo degli eventi di sistema allo scopo di offrire agli amministratori le informazioni necessarie per la manutenzione, la sicurezza e la responsabilità del sistema.

Per comprendere meglio il Visualizzatore eventi, considera l'analogia della rete di sorveglianza di un edificio: se il sistema operativo Windows è una telecamera di sicurezza e i registri degli eventi sono le registrazioni, il Visualizzatore eventi è il sistema di monitoraggio a circuito chiuso. Un buon sistema di monitoraggio della sorveglianza avrà funzioni di visibilità come lo zoom avanti o l'HD. Allo stesso modo, il Visualizzatore eventi offre funzionalità che consentono di distinguere un evento critico da un evento normale e che può essere ignorato.

Con funzionalità come la possibilità di filtrare e raggruppare gli eventi, un potente motore di ricerca e una maggiore capacità di creazione di report, il Visualizzatore eventi è la tua finestra sul mondo dei registri eventi di Windows.

Come aprire il Visualizzatore eventi.

• Nella barra di ricerca di Windows, inserisci Visualizzatore eventi, quindi fai clic sull'app per aprirla.
• In alternativa, premi il tasto Windows + R e digita Eventvwr.

Registri eventi di Windows

Sui computer ogni giorno si svolge una miriade di attività. Il sistema operativo Windows registra ogni evento relativo alle prestazioni del sistema, alle applicazioni e agli aspetti di sicurezza del computer in un registro che si trova al percorso C:\WINDOWS\system32\winevt.

Il Visualizzatore eventi legge da questi registri eventi non elaborati, quindi presenta le informazioni in un formato leggibile.

Qual è lo scopo dei registri eventi?

Le informazioni memorizzate in questi registri sono esaustive; ogni dettaglio sull'hardware, il software, gli utenti e le loro interazioni del computer viene registrato. Ad esempio, è possibile trovare informazioni generali sull'avvio di un processo, dati sull'arresto anomalo di un'applicazione o dettagli su quando un utente è riuscito o non è riuscito a eseguire l'autenticazione. Tutte queste informazioni consentono agli amministratori di individuare e risolvere potenziali minacce o problemi prima che si trasformino in catastrofi più grandi. Inoltre, i dati degli eventi relativi alla sicurezza aiutano gli amministratori a migliorarne il livello e a identificare le responsabilità.

Formato dei dati del registro eventi e modalità di presentazione nel Visualizzatore eventi

Windows classifica ogni evento che si verifica in un computer nelle categorie seguenti:

• Registro di sistema: in questo registro vengono registrati gli eventi relativi al sistema informatico, compreso l'hardware. Ad esempio, qui vengono registrati eventi come l'avvio e l'arresto del sistema.
• Applicazione: tutti gli eventi relativi alle app ospitate su un computer vengono registrati in questo spazio. Ad esempio, le informazioni relative ad app come MS Word vengono registrate in questo registro.
• Impostazione: eventi che si verificano durante l'installazione o l'aggiornamento del sistema operativo. Ad esempio, le informazioni sugli aggiornamenti del sistema operativo Windows sono disponibili qui.
• Sicurezza: la funzionalità di controllo di Windows monitora continuamente gli eventi di sicurezza e ne registra l'occorrenza in questo registro. Ad esempio, gli eventi di autenticazione utente, inclusi i tentativi di accesso riusciti e non riusciti.
• Eventi inoltrati: si tratta di una categoria speciale introdotta nel 2008 che memorizza gli eventi inoltrati da altri computer.

Le seguenti informazioni vengono registrate per ogni evento e riportate nel dettaglio nella console del Visualizzatore eventi:

• ID evento: un numero di identificazione univoco che consente agli amministratori di identificare un evento (ad esempio, l'ID evento 6008 in caso di arresto imprevisto del sistema). Di seguito sono riportati otto degli ID evento di Windows più critici.
• Data e ora dell'evento: le informazioni su quando si è verificato esattamente un evento.
• Origine: i dettagli del software, del servizio o del processo che ha causato l'evento.
• Nome registro: il tipo di registro in cui è stato riportato l'evento (ad esempio, eventi di sistema, applicazione, sicurezza, configurazione o inoltrati).
• Utente: informazioni sull'utente che ha effettuato l'accesso al computer quando si è verificato l'evento.
• Computer: informazioni sul computer in cui si è verificato l'evento.

Inoltre, viene specificato anche il livello di gravità dell'evento. Windows assegna uno dei seguenti livelli di gravità a ogni evento per consentire agli amministratori di agire di conseguenza:

• Informazioni: come suggerisce il nome, si tratta di semplici informazioni utili da sapere.
• Avviso: questo è un indizio che c'è un potenziale problema.
• Errore: ciò indica un problema, ma potrebbe non essere necessario correggerlo immediatamente.
• Critico: questo è un campanello d'allarme. L'attenzione a questo evento e una conseguente azione correttiva sono indispensabili.

Ecco come appaiono i dati nel Visualizzatore eventi:

Funzionalità aggiuntive del Visualizzatore eventi

• Il Visualizzatore eventi offre filtri di ricerca esclusivi per aiutare a trovare dettagli specifici nel registro.
• L'opzione per creare visualizzazioni personalizzate ti consente di visualizzare solo i dettagli che ti interessano.
• La sottoscrizione di eventi consente di configurare una raccolta di eventi da computer remoti.
• I registri delle applicazioni e dei servizi consentono alle app di terze parti di registrare i propri eventi.
• Il meccanismo di archiviazione consente agli amministratori di archiviare registri importanti, un passaggio fondamentale per la conformità alle normative IT.

Limiti del Visualizzatore eventi

Nonostante tutte le sue funzionalità, il Visualizzatore eventi non dà la sicurezza assoluta agli amministratori di poter affrontare qualsiasi sfida. I suoi limiti possono essere notati già quando si lavora con un solo computer, figurarsi con una rete di computer. Ha un certo numero di limiti, tra cui:

• I registri eventi non vengono replicati tra i computer della stessa rete, rendendo difficile la loro aggregazione tra più computer.
• Cercare di comprendere i report del Visualizzatore eventi comporta il dover passare al setaccio una quantità colossale di dati.
• Mancano correlazione e contesto. Spesso un evento, di per sé, sembra insignificante ma, quando eventi collegati sono solo apparentemente non correlati, emerge il quadro generale. Questo non è possibile con il solo impiego del Visualizzatore eventi.
• Nessuna reportistica di sicurezza o di verifica della conformità. Ciò rende impossibile fare affidamento esclusivamente sul Visualizzatore eventi per i controlli di conformità.

I vantaggi di ADAudit Plus: come colma le lacune

ADAudit Plus è un auditor delle modifiche basato su UBA che aggrega i registri degli eventi da vari computer, li archivia a livello centrale e correla in modo programmatico gli eventi correlati per creare il miglior contesto possibile necessario per agire. Inoltre, offre avvisi e notifiche in tempo reale su eventi e modifiche fondamentali. Tutto questo in pochi clic!