Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El Visor de eventos es una herramienta que muestra informacin detallada acerca de eventos importantes
del equipo, por ejemplo, programas que no se inician como se espera o actualizaciones que se descargan
automticamente. El Visor de eventos puede resultar til para solucionar problemas y errores de Windows y
otros programas.
Para abrir el Visor de eventos, haga clic en el botn Inicio , en Panel de control, Sistema y
seguridad, Herramientas administrativas y, a continuacin, haga clic en Visor de eventos. Si se le
solicita una contrasea de administrador o una confirmacin, escriba la contrasea o proporcione la
confirmacin.
Cmo ver y administrar los registros de eventos en el Visor de eventos de Windows XP
Visor de eventos
En Windows XP, un evento es cualquier evento significativo del sistema o de un programa que requiere que
se notifique a los usuarios o que se agregue una entrada a un registro. El servicio Registro de eventos graba
eventos de aplicacin, de seguridad y de sistema en el Visor de eventos. Con los registros de eventos del
Visor de eventos puede obtener informacin acerca de los componentes de hardware, software y sistema, y
supervisar los eventos de seguridad de un equipo local o remoto. Los registros de eventos pueden ayudar a
identificar y diagnosticar el origen de los problemas actuales del sistema o a predecir posibles problemas del
sistema.
Tipos de registros de eventos
Un equipo con Windows XP graba los eventos en los tres registros siguientes:
Registro de aplicacin: El registro de aplicacin contiene eventos registrados por los programas.
Por ejemplo, un programa de base de datos puede grabar un error de archivo en el registro de
aplicacin. Los desarrolladores del programa de software determinan los eventos que se escriben en el
registro de aplicacin.
Registro de seguridad: El registro de seguridad graba eventos como intentos vlidos y no vlidos de
inicio de sesin, as como eventos relacionados con el uso de recursos como crear, abrir o eliminar
archivos. Por ejemplo, cuando la auditora del inicio de sesin est habilitada, se graba un evento en el
registro de seguridad cada vez que un usuario intenta iniciar sesin en el equipo. Debe haber iniciado
sesin como Administrador o como miembro del grupo Administradores para poder activar, utilizar y
especificar qu eventos se grabarn en el registro de seguridad.
Registro del sistema: El registro del sistema contiene eventos grabados por los componentes del
sistema de Windows XP. Por ejemplo, si un controlador no se carga durante el inicio, se grabar un
evento en el registro del sistema. Windows XP determina previamente los eventos registrados por los
componentes del sistema.
Cmo ver los registros de eventos
Para abrir el Visor de eventos, siga estos pasos:
1.
Haga clic en Inicio y, despus, haga clic en Panel de control. Haga clic en Rendimiento y
mantenimiento y enHerramientas administrativas y, despus, haga doble clic en Administracin de
equipos. O bien, abra la consola MMC que contiene el complemento Visor de eventos.
2.
En el rbol de consola, haga clic en Visor de eventos.
Los registros de aplicacin, seguridad y sistema se mostrarn en la ventana Visor de eventos.
Informacin: Evento que describe el funcionamiento correcto de una tarea, como una aplicacin, un
controlador o un servicio. Por ejemplo, un evento Informacin se registra cuando se carga
correctamente un controlador de red.
Advertencia: Evento que no es necesariamente significativo; sin embargo, puede indicar la posible
existencia de un problema futuro. Por ejemplo, un mensaje Advertencia se registra cuando empieza a
quedar poco espacio de disco.
Error: Evento que describe un problema importante, como el error de una tarea crtica. Los eventos
de error pueden implicar prdida de datos o de funcionalidad. Por ejemplo, un evento Error se registra
si no se carga un servicio durante el inicio.
1. Haga clic en Inicio y, despus, haga clic en Panel de control. Haga clic en Rendimiento y
mantenimiento y
enHerramientas
administrativas y,
despus,
haga
doble
clic
en Administracin de equipos. O bien, abra la consola MMC que contiene el complemento Visor
de eventos.
2. En el rbol de consola, expanda Visor de eventos y haga clic con el botn secundario en el
registro para el que desee establecer el tamao y las opciones de sobrescritura.
3. En Tamao del registro, escriba el tamao que desee en el cuadro Mximo tamao de registro.
4. En Cuando se alcance el tamao mximo del registro, haga clic en la opcin de sobrescritura
que desee.
5. Si desea borrar el contenido del registro, haga clic en Vaciar registro.
6. Haga clic en Aceptar.
Cmo archivar un registro
Si desea guardar datos del registro, puede archivar los registros de eventos en cualquiera de los formatos
siguientes:
Los tres dispositivos mencionados pueden implementarse en la red o en los hosts y por lo general generan
bitcoras de actividad. Normalmente los de red se colocan en un punto neurlgico de la red, tpicamente el
permetro, y los de host se pueden implementar en los equipos finales (computadoras personales y
servidores) de la organizacin.
En la actualidad no se concibe una organizacin mediana o grande que carezca de un firewall y un IDS/IPS
en el permetro de su red, ya que contribuyen de manera significativa a reducir el nivel de riesgo de sufrir
ataques informticos.
Las grandes corporaciones tienen mltiples dispositivos de este tipo, ubicados en diferentes puntos de la
red, que permiten implementar un esquema de seguridad en profundidad, pero la gran mayora de las
organizaciones solo cuenta con estos dispositivos en el permetro debido al gran costo que implica.
En este escenario, qu ocurre con los ataques que vienen de nuestra propia organizacin? El trfico
generado por estas amenazas ni siquiera pasar por los dispositivos ubicados en el permetro y por lo tanto
no podrn ser identificadas ni, mucho menos, detenidas.
Qu pasa si un empleado de la organizacin infecta va memoria USB su equipo de cmputo con
un malware que comienza a realizar escaneos y otro tipo de ataques en la red interna? Qu sucede si un
atacante logra accesar mediante una red inalmbrica con cifrado vulnerable, para luego efectuar un
ataque man in the middle va DHCP rogue? Muy probablemente no ser detectado por los dispositivos
perimetrales. En todos estos casos la bitcora del firewall de los equipos finales puede proveer informacin
valiosa para identificar los ataques.
Por ser Windows el sistema operativo ms ampliamente utilizado, a continuacin veremos cmo habilitar
el log delfirewall de este sistema operativo, y algunos ejemplos de ataques que pueden ser identificados con
esta valiosa fuente de informacin.
En primer lugar es necesario decidir si se desea registrar el trfico aceptado, el rechazado, o ambos.
Aconsejo habilitar ambos. Para ello, hay que abrir una terminal de comandos (cmd.exe) con privilegios de
administrador y ejecutar:
netsh firewall set logging droppedpackets = enable connections = enable
A continuacin debemos preguntarnos Cunto espacio estoy dispuesto a destinar para almacenar las
bitcoras? La respuesta estar en funcin de la cantidad de trfico que pase por el dispositivo, su
capacidad de almacenamiento, nivel de criticidad y su rendimiento. Se puede iniciar con 20 MB para
equipos finales y luego modificar el tamao de acuerdo con las necesidades de cada caso. Cuando el
archivo llegue al tamao mximo, se sobreescribir la informacin anterior y ya no podr ser recuperada.
El comando es el siguiente:
netsh firewall set logging maxfilesize = 20000
Esos dos sencillos pasos bastarn para comenzar a registrar los eventos del firewall de Windows. De
manera predeterminada el archivo se ubica en la ruta: C:\Windows\System32\LogFiles\Firewall.
La bitcora es simple y tiene dos secciones, la primera es de directivas y la segunda consta de registros
de eventos. Las directivas indican la versin de la bitcora, que fue generada por el firewall de Windows,
con la fecha y hora que se toman del sistema local y los campos que contiene. Esta informacin ser de
suma importancia cuando se interprete su contenido como parte de un anlisis forense. Por ejemplo:
#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn
tcpack tcpwin icmptype icmpcode info path
2013-01-11 12:05:00 ALLOW UDP 172.30.1.1 172.30.1.2 65102 1947 0 - - - - - - - SEND
Ahora veremos cmo identificar, por medio de la bitcora del firewall de Windows, dos ejemplos de
ataques informticos:
1.- Escaneos de puertos realizado con nmap, desde la direccin IP 192.168.220.141 (atacante) a la
direccin IP 192.168.220.1 (vctima).
Toca hacer limpieza del ordenador? No ests segur de qu versin de cierto programa tienes
instalada? Para que no tengamos que recurrir al mtodo de abrir uno por uno los programas que
tenemos instalados para ver qu versin tenemos o fijarnos en el apartado de Instalar/Desinstalar
Programas para ver una lista completa de lo que tenemos, existen un par de mtodos ms rpidos y
que nos darn una lista completa, incluyendo la versin de cada programa instalado en nuestro
ordenador.
La primera manera de comprobar qu es lo que hay instalado requiere el uso de la lnea de comandos.
Podemos escribir simplemente CMD, en Windows XP, 7 u 8, para abrir la lnea de comandos.
Seguidamente escribiremos el siguiente comando, respetando los espacios y dando Enter luego del
primer comando WMIC:
WMIC
product get name,version
Si queremos exportar la lista a un archivo de texto, debemos hacer unas modificaciones y los comandos
que tendremos que escribir quedarn de la siguiente manera:
WMIC
/output:D:\installedapps.txt product get name,version
Sin embargo, lo anterior no nos dar una lista tan completa como la opcin Programas y caractersticas
del CCleaner. A travs de la opcin Herramientas y de la opcin Desinstalar, podremos ver, ahora s,
una lista ms completa que incluye los programas portables, libreras o programas que no cuentan con
desinstalador. Adems se incluirn algunos datos ms, como lo que ocupa el programa en disco y el
nombre del desarrollador, adems de la versin.
Iniciar el visor de eventos-WINDOWS 7
Se aplica a: Windows 7, Windows Server 2008 R2, Windows Vista
El visor de eventos es un complemento de Microsoft Management Console (MMC). Puede iniciar el visor
de eventos si agrega el complemento a MMC o si hace doble clic en el archivo del complemento,
Eventvwr.msc, que est ubicado en la carpeta %SYSTEMROOT%\system32. Adems, el visor de
eventos puede iniciarse desde la interfaz de Windows o desde la lnea de comandos con los siguientes
procedimientos.
Para iniciar el visor de eventos mediante la interfaz de Windows
1.
Haga clic en el botn Inicio.
2.
Haga clic en Panel de control.
3.
Haga clic en Sistema y mantenimiento.
4.
Haga clic en Herramientas administrativas.
5.
Haga doble clic en Visor de eventos.
Para iniciar el visor de eventos mediante una lnea de comandos
1. Abra un smbolo del sistema. Para abrir un smbolo del sistema, haga clic en Inicio,
seleccione Todos los programas, Accesorios y, a continuacin, haga clic en Smbolo
del sistema.
2. Escriba eventvwr.
La herramienta de la lnea de comandos eventvwr.exe admite opciones que determinan el
equipo al que se conectar el complemento y los registros de eventos que mostrar. Si se
conecta a un equipo que ejecuta una versin anterior de Windows, la herramienta puede
usarse para iniciar el complemento y conectarse al equipo remoto, pero las opciones de la
lnea de comandos adicionales se omiten.
Visor de Sucesos Windows 7
Si ALgun dia tienes ALgun Problema Con Tu Hermana, Amigos, o Arguna Otra Persona que hayan
entrado a Tu PC y le estas Reclamando algo malo, o algo raro que te Hicieron a TU PC, QUIERES
SABER como darte cuenta de todo lo que hayan Echo Ellos en TU PC ?
Con Este Sistema de Windows Podemos Ver Todos los Sucesos de las Personas que entran a Nuestra
PC, Desde el Primer Programa que haya abierto hasta el Ultimo, y Por si fuera Poco te da la hora que lo
hicieron y todo, Para que tengas una constancia en tus Reclamos, Espero que le sirva.
Para Abrir el Visor de Sucesos Hacer Esto:
1 Inicio
2 Clic Derecho en Mi Computer
3 Administrar
4 Y Visor de Sucesos,
Cmo encuentro registros de eventos cuando se bloquea un programa?
Cuando se bloquea un programa (el proceso ha dejado de funcionar o desaparece), un archivo de
registro de eventos puede resultar til al equipo de desarrollo para solucionar problemas. Siga los pasos
siguientes para encontrar registros de eventos:
Windows 7:
1. Haga clic en el botn Inicio de Windows > Escriba evento en el campo Buscar programas y
archivos.
3. Acceda a Registros de Windows > Aplicacin y busque el evento ms reciente que tenga
Error en la columna Nivel y Error de aplicacin en la columna Origen
Panel de control > Herramientas administrativas > Visor de eventos > Aplicacin > Haga
clic en el evento de tipo "Error" > Copie el texto en la ficha General y envenoslo.