Todos los eventos registrados en el visor del sistema tienen asociados un ID normalizado en función de su tipo (Seguridad, Auditoría, aplicaciones, etc.). Así que siempre que veamos aparecer un “Event ID41”, significará que nos ha aparecido la famosa pantalla azul. Esto impacta en que algunos ID solo estarán disponibles si tienes configurado una funcionalidad concreta. Por ejemplo, el evento:
“Event 4662: An operation was performed on an object”.
Se refiere a objetos existentes dentro del Directorio Activo, por solo aparecerá en el caso de que tengamos esta funcionalidad activa.
Monitorización de Microsoft Windows server
Ahora que somos conocedores de los conceptos, es hora realizar un plan de monitorización para nuestro servidor. ¿Pero qué eventos seleccionaríamos? De nuevo, la respuesta depende del uso que le vayas a dar y qué funcionalidades necesites.
En nuestro caso, si quisiésemos controlar la autenticación, creación, borrado y modificación de los usuarios, estaríamos monitorizando la funcionalidad “Security Auditing”, por lo que los eventos relativos a “Account Management” serían interesantes. Por ejemplo:
- 4720 – A user account was created
- 4722 – A use account was enabled
- 4723 – An user attempted to change an account’s password
- 4724 – An attempt was made to reset an account’s password
- 4725 – A user account was disabled
- 4726 – A user account was deleted
- 4727 – A security-enabled global group was created
- 4728 – A member was added to a security-enabled global group
- 4729 – A member was removed from a security-enabled global group
- 4730 – A security-enabled global group was deleted
- 4731 – A security-enabled local group was created
- 4732 – A member was added to a security-enabled local group
- 4733 – A member was removed from a security-enabled local group
- 4734 – A security-enabled local group was deleted
- 4735 – A security-enabled local group was changed
- 4737 – A security-enabled global group was changed
- 4738 – A user account was changed
- 4741 – A computer account was created
- 4742 – A computer account was changed
- 4743 – A computer account was deleted
- 4754 – A security-enabled universal group was created
- 4755 – A security-enabled universal group was changed
- 4756 – A member was added to a security-enabled universal group
- 4757 – A member was removed from a security-enabled universal group
- 4758 – A security-enabled universal group was deleted
Para el ejemplo que elaboramos para este artículo, seleccionamos tanto algunos de los anteriores como otras correspondientes a otras subcategorías como “Directorio Activo”:
- 4726 – A user account was deleted
- 4720 – A user account was created
- 4756 – A member was added to a security-enabled universal group
- 4662 - An operation was performed on an object
- 4624 - An account was successfully logged on
- 4672 - Special privileges assigned to new logon
Con esto tendríamos lo básico para controlar los accesos a nuestro servidor.
Si nos fijamos, con los eventos de “Account Management” estaríamos controlando la creación y borrado de nuevas cuentas, a la vez que sabríamos cuando se asigna una cuenta a un grupo de seguridad. Los eventos relacionados con el “Directorio Activo” nos permiten, por ejemplo, ver quién se ha registrado en el servidor con permisos de administrador.
El contenido de un evento sería como lo que se muestra a continuación: