Gestión de Active Directory » Instalación del agente

¿Cómo monitorear los inicios y apagados del equipo?

Llevar un registro del inicio y apagado del equipo permite a una organización supervisar el uso del equipo y ayuda a acelerar el análisis forense en caso de un percance.

Revise los períodos de inicio y apagado de su equipo

Prueba gratuita de 30 días con todas las funciones

  • Con auditoría nativa de AD

  • Con ADAudit Plus

Informes completos para rastrear arranques y apagados de los equipos.

ADAudit Plus es una solución integral de auditoría de Active Directory que le ayudará a supervisar y auditar los inicios y cierres de sesión locales de los usuarios del dominio. También puede rastrear otros eventos críticos que pueden conducir a interrupciones de la red. Con ADAudit Plus, puede realizar un seguimiento de los inicios y apagados en todos los equipos dentro de su dominio.

Los informes preconfigurados de la solución, que proporcionan información detallada sobre los inicios y apagados de la computadora, pueden generarse automáticamente y enviarse por correo electrónico a intervalos especificados. También puede exportar estos informes al formato de su elección. Así es como puede acceder a los informes de inicio y apagado del equipo utilizando ADAudit Plus:

Inicie sesión en ADAudit Plus → Vaya a la pestaña Informes → En Informes de inicio de sesión local → navegue hasta el informe Inicio y apagado del equipo.

  • Informe de acceso
    • Los detalles que puede obtener en este informe son:
      1. Nombre del equipo
      2. El usuario que inició la acción
      3. La hora en que se produjo el inicio del equipo
      4. Hora en que se produjo el apagado del equipo
      5. La hora del último cierre de sesión
      6. Horas activas (la cantidad de tiempo que el equipo inició sesión o duró activo entre un inicio y el apagado correspondiente)
      7. Tipo de apagado (hay dos tipos de apagado - el que se produce cuando el equipo está realmente apagado y el apagado temporal que se produce cuando se reinicia el dispositivo. )
      8. El proceso informático que desencadenó el apagado

También puede rastrear cuándo se inició y apagó un equipo por última vez usando el informe "Último inicio y apagado del equipo". Este informe puede proporcionar detalles sobre quién realizó la acción, cuándo ocurrió y el proceso que desencadenó el inicio o el apagado.

Inicie sesión en ADAudit Plus → Vaya a la pestaña Informes → En Informes de inicio de sesión local → navegue hasta el informe Inicio y apagado del equipo.

  • Informe de acceso

Con la auditoría de AD nativa, puede monitorear los inicios y apagados del equipo:

  • Paso 1: Habilite la política “Auditar eventos de inicio de sesión”
  • Inicie “Administrador del servidor” en su instancia de Windows Server.
  • En Administrar, seleccione “Administración de directivas de grupo” e inicie la consola de administración de directivas de grupo.
  • Navegue a Bosque --> Dominio --> Su dominio --> Controladores de dominio.
  • Crear una nueva GPO y vincularla al dominio que contiene el objeto del equipo, o editar cualquier GPO existente que esté vinculada al dominio para abrir el “Editor de administración de directivas de grupo”.
  • Navegue a Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Directivas locales -> Directiva de auditoría.

  • En Política de auditoría, seleccione “Eventos del sistema de auditoría” y active la auditoría para los eventos de éxito y fracaso.

    como-monitorear-el-historial-de-eventos-del-sistema-de-inicio-y-apagado-del-equipo  

  • Paso 2: Habilite auditoría “Inicio de sesión/Cierre de sesión”
  • Ahora, navegue a Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Configuración avanzada de directivas de auditoría -> Directivas de auditoría del sistema - Objeto de directiva de grupo local -> Sistema.

  • En Sistema, habilite la auditoría para “Auditoría del cambio de estado de seguridad” (Active la auditoría tanto para éxitos como para fracasos).

    como-monitorear-el-historial-de-inicio-de-sesión-cierre-de-sesión-del-equipo 

  • Paso 3: Seguimiento del inicio y apagado del equipo en el Visor de eventos
  • Cada vez que un usuario inicia o apaga un equipo, se grabará un registro de eventos en el Visor de eventos. Estos registros de eventos se pueden utilizar para rastrear las horas activas del equipo. Para ver estos registros de auditoría, vaya al Visor de eventos. En Registros de Windows, seleccione Sistema. Puede encontrar todos los registros de auditoría en el panel central como se muestra a continuación.

  • Para filtrar los registros de eventos para ver solo los registros asociados con el inicio y apagado del equipo, seleccione 'Filtrar registro actual' en el panel derecho. Simplemente busque el ID de evento 6005 (Se inició el equipo), 6006 (Se apagó el equipo). Puede ver cuándo se inició y apagó el equipo.

    como-monitorear-el-historial-de-eventos-de-inicio-y-apagado-del-equipo 

Con esta información, puede identificar cuándo se apagó o inició un equipo. Este proceso debe repetirse varias veces si desea monitorear varios dispositivos.

¿Se está volviendo demasiado la auditoría nativa?

Simplifique la auditoría e informes de inicio y apagado del equipo con ADAudit Plus.

Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones

Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active DirectoryWorkstationServidores de archivosServidores Windows CumplimientoProductos relacionados