Monitoreo de registros de eventos de Windows

Los registros de eventos se usan para monitorear los servidores Windows en tu red. Los registros te ayudan a supervisar los eventos de programa, seguridad y sistema que ocurren en los dispositivos Windows. Por ejemplo, puedes identificar problemas de rendimiento como la falla de un proceso o eventos de seguridad como intentos de inicio de sesión no autorizados.

Cómo monitorear registros de eventos en un dispositivo

En una máquina con Windows, hay un visor de eventos predeterminado que te ayuda a ver los eventos de esa máquina. Pero revisar los eventos manualmente con este método no es viable si quieres monitorear una red empresarial. OpManager admite el monitoreo de registros de eventos y te ayuda a identificar fácilmente eventos críticos mediante alertas.

Requisito previo: OpManager utiliza WMI para obtener los detalles de estos registros desde un dispositivo Windows.

Por favor, asegúrate de proporcionar las credenciales de inicio de sesión de un usuario con privilegios administrativos para acceder al dispositivo de destino. (Si eres un usuario no administrador (visita este artículo de la base de conocimientos para saber más). Para monitorear eventos de Windows, debes asociar los monitores de registros de eventos con el dispositivo.

Una vez que te hayas asegurado de tener los permisos necesarios, sigue los pasos que se indican a continuación:

  • Ve a Inventory -> Devices y luego haz clic en un dispositivo.
  • Haz clic en Monitors -> EventLog Monitors -> Add Monitor.
  • Selecciona los registros de eventos que se van a monitorear en el dispositivo.
  • Haz clic en Associate para agregar los monitores seleccionados al dispositivo.

Monitoreo de registros de eventos de Windows en OpManager: lista de monitores de registros de eventos

Nota: La casilla de Monitoring Interval debe estar habilitada. Si está deshabilitada, todos los monitores de registros de eventos asociados con el dispositivo quedarán deshabilitados y no funcionarán aunque estén asociados al dispositivo.

Crear un monitor de registro de eventos

Para crear un monitor de registro de eventos, sigue los pasos que se indican a continuación:

  1. Ve a Settings > Monitoring > Event Log Rules
    En esta página, puedes ver las reglas predeterminadas que admite OpManager. Están categorizadas en Applications, Security, System, DNS Server, File Replication Service y Directory Service.

    Monitoreo de registros de eventos de Windows en OpManager: Agregar nueva regla

  2. Para agregar una nueva regla haz clic en Add.
    Nota: Los campos son opcionales, excepto Rule Name. Los datos que ingreses en los campos se usan para filtrar el evento. Por ejemplo, cuando indicas el origen y el ID de evento, se monitorearán todos los eventos con el ID indicado procedentes del origen especificado. En otro caso, si solo indicas la categoría, como error, se monitorearán todos los eventos con categoría error.
    • Selecciona el Log File Name.
    • Escribe un Rule Name único.
    • Ingresa el Event ID que se va a monitorear. Este es el identificador único de los registros de eventos.
    • Ingresa el Source del evento. Este es el origen que registra el evento; puede ser una aplicación o un subcomponente de una aplicación. Por ejemplo: DesktopCentral, Microsoft Windows security.
    • Ingresa la Category del evento. Cada origen de evento define sus propias categorías, como error de escritura de datos, error de lectura de datos, etc., y el evento se ubicará en una de estas categorías.
    • Escribe el nombre de User para filtrar el registro de eventos según el usuario que haya iniciado sesión cuando ocurrió el evento.

    • Elige los Event Types para filtrar los registros de eventos según su tipo. Normalmente será uno de los siguientes: Error, Warning, Information, Security audit success y Security audit failure.

      Monitoreo de registros de eventos de Windows en OpManager: Agregar nuevas reglas - tipos de evento

    • Description Match Text: Ingresa la cadena que se va a comparar con el mensaje del registro. Esto filtrará los eventos que contengan esta cadena en el mensaje del registro.

      También puedes usar expresiones regulares (RegEx) para especificar el criterio de coincidencia en este campo. Por ejemplo, considera una descripción de Eventlog que dice: "Check whether any firewall is blocking". A continuación, se muestran algunos ejemplos de cómo puedes formar patrones RegEx para este mensaje:

      CondiciónLógica usadaPatrón RegExRegEx real
      Contiene tanto "Check" como "any"AND(?=.*XXX)(?=.*YYY)(?=.*Check)(?=.*any)
      Contiene "blocking" o "firewall"OR(XXX)|(YYY)(blocking)|(firewall)
      No contiene "firewall"NOT^(?!.*XXX).*$^(?!.*firewall).*$
    • Generate Alarm if event is raised: De forma predeterminada, OpManager genera una alarma si ocurre el evento. Sin embargo, puedes configurar la cantidad de veces consecutivas que el evento puede ocurrir dentro de un número específico de segundos para generar una alarma.
    • Elige una severity para la alarma generada en OpManager para este evento. Por ejemplo, para eventos de seguridad puedes asignar el nivel de gravedad Critical. Los niveles de gravedad disponibles son Critical, Trouble, Attention, Clear e Ignore event. (La opción Ignore event se utiliza para evitar generar una alerta para un evento)
  3. Haz clic en OK para guardar la regla de registro de eventos.
 Los detalles como Source, Category y Event ID estarán disponibles en el visor de eventos de tu servidor.
 
Monitoreo de registros de eventos de Windows en OpManager: Ejemplo de visor de eventos

 La imagen anterior muestra un ejemplo de un evento de seguridad. Desde el visor de eventos puedes tomar los datos necesarios, especificarlos en OpManager y monitorear el evento.

Monitoreo de registros de eventos personalizados

También puedes monitorear registros de eventos bajo una categoría personalizada. Algunas aplicaciones registran eventos en una categoría nueva distinta de las categorías predeterminadas System/Applications/Security. Ahora puedes configurar reglas en OpManager para analizar los eventos en dichas categorías personalizadas y activar alertas correspondientes en OpManager. Estos son los pasos:

  1. Ve a Settings > Monitoring > Event Log Rules
  2. Haz clic en Add Custom Event log
  3. Selecciona un dispositivo en la lista desplegable en el que puedas consultar las categorías de eventos.
  4. Proporciona los datos de WMI: User Name y Password del dispositivo.
  5. List logs that were created in last Configura el intervalo de tiempo para listar los registros y haz clic en Query Device
  6. Se listan los registros personalizados del dispositivo seleccionado. Selecciona un registro en Discovered Log Files y haz clic en OK 

Monitoreo de registros de eventos de Windows en OpManager: Monitoreo de registros de eventos personalizados

Cómo configurar monitores de registros de eventos para múltiples dispositivos en lote

La asociación de monitores de registros de eventos a múltiples dispositivos se simplifica en OpManager con la opción Quick Configuration Wizard.

  • Ve a Settings > Configuration > Quick Configuration Wizard.
  • Haz clic en Event log rules.
  • Selecciona el archivo de registro. Por ejemplo, Application, Security. Elige el evento que quieres monitorear en el menú desplegable Rule y asocia la regla.
  • Selecciona los dispositivos en la columna All Devices y muévelos a la columna Selected Devices.
  • Haz clic en Save. Los monitores se asociarán a todos los dispositivos seleccionados en tu red.

Monitoreo de registros de eventos de Windows en OpManager: Asistente de configuración rápida para registros de eventos

Automatizar la asociación de reglas de registros de eventos a dispositivos

Aplicar reglas de registros de eventos a múltiples dispositivos es más fácil usando el QCW; sin embargo, si descubres nuevos dispositivos con frecuencia para su monitoreo, agregar monitores de registros de eventos a estos nuevos dispositivos puede ser una tarea engorrosa.

Puedes automatizar el proceso de asociación de reglas de registros de eventos usando el Discovery rule engine. Con esta opción puedes crear tu propia regla para asociar reglas de registros de eventos a dispositivos específicos como servidores Windows.

La regla de registro de eventos se aplicará a los servidores Windows cada vez que sean descubiertos en OpManager.

Monitoreo de registros de eventos de Windows en OpManager: Automatizar la asociación de reglas de registros de eventos a dispositivos

Recibir notificaciones instantáneas sobre eventos críticos

Puedes configurar la recepción de notificaciones para eventos importantes de Windows a través de varios canales, como SMS o correo electrónico, usando la función Notification Profile. Al seleccionar el criterio para recibir notificaciones, marca la casilla Event Log rule generate alarms para generar alertas relacionadas con eventos a través de varios canales.