Microsoft Windows server es uno de los tipos de servidores más extendidos a nivel mundial y que pueden ser utilizados para cubrir un amplísimo abanico de funcionalidades para nuestras empresas. Desde servidor web o de correo, a servidor de aplicaciones o controlador de dominio. En este artículo vamos a hablar sobre la monitorización de este tipo de servidores y haremos hincapié en sus eventos, los cuales podemos observar con su visualizador.

Al igual que cualquier otro tipo de servidor, las aplicaciones que corren en ellos suelen ser de vital importancia para tu empresa, de tal forma que una caída puede impactar de forma muy peligrosa. En el caso de lo tuviésemos funcionando como entorno de desarrollo, todo nuestro equipo de programadores quedaría inhabilitado para trabajar hasta que se solucionase el problema. Si fuese nuestro servidor de correo, toda la empresa quedaría incomunicada temporalmente por esta vía. Por todo esto, es muy importante conocer que es lo que está pasando en nuestro Microsoft Windows server y que los problemas no nos cojan despistados.

Windows nos permite el acceso a una gran cantidad de métricas. Por lo que es necesario saber bien qué es lo que va a correr dentro de nuestro servidor y para qué lo vamos a utilizar, ya que, en función de esto, existirán métricas que serán más importantes que otras.

Siempre es de gran interés tener controlados los recursos de los que dispone y ver cómo va evolucionando su consumo. Recursos como CPU, Memoria, disco o tráfico son esenciales para poder conocer el funcionamiento del servidor y sus picos de trabajo. El porcentaje de tiempo que el procesador está trabajando, procesos pendientes, memoria disponible, etc. son algunos de los parámetros que nos pueden avisar de un funcionamiento anómalo.

Mas allá de estos registros numéricos, ¿Cómo podemos saber qué aplicación se ha iniciado y está consumiendo nuestros recursos? ¿Cómo podemos saber quién ha arrancado esa aplicación? ¿Como podemos saber que ha aparecido un PANTALLAZO AZUL?

Cada operación realizada en Windows queda registrada en su log de eventos, desde el inicio de una sesión de usuario, a una aplicación. El visualizador de eventos nos permite tener una visión más legible de lo que está ocurriendo. Además, todos los problemas en nuestro sistema que conlleve un aumento del consumo de sus recursos coincidirán en el tiempo con los eventos que aparezcan en el visualizador. Esto nos permitirá trazar y encontrar el origen del fallo.

Todos los eventos registrados en el visor del sistema tienen asociados un ID normalizado en función de su tipo (Seguridad, Auditoría, aplicaciones, etc.). Así que siempre que veamos aparecer un “Event ID41”, significará que nos ha aparecido la famosa pantalla azul. Esto impacta en que algunos ID solo estarán disponibles si tienes configurado una funcionalidad concreta. Por ejemplo, el evento:

“Event 4662: An operation was performed on an object”.

Se refiere a objetos existentes dentro del Directorio Activo, por solo aparecerá en el caso de que tengamos esta funcionalidad activa.

Monitorización de Microsoft Windows server

Ahora que somos conocedores de los conceptos, es hora realizar un plan de monitorización para nuestro servidor. ¿Pero qué eventos seleccionaríamos? De nuevo, la respuesta depende del uso que le vayas a dar y qué funcionalidades necesites.

En nuestro caso, si quisiésemos controlar la autenticación, creación, borrado y modificación de los usuarios, estaríamos monitorizando la funcionalidad “Security Auditing”, por lo que los eventos relativos a “Account Management” serían interesantes. Por ejemplo:

• 4720 – A user account was created
• 4722 – A use account was enabled
• 4723 – An user attempted to change an account’s password
• 4724 – An attempt was made to reset an account’s password
• 4725 – A user account was disabled
• 4726 – A user account was deleted
• 4727 – A security-enabled global group was created
• 4728 – A member was added to a security-enabled global group
• 4729 – A member was removed from a security-enabled global group
• 4730 – A security-enabled global group was deleted
• 4731 – A security-enabled local group was created
• 4732 – A member was added to a security-enabled local group
• 4733 – A member was removed from a security-enabled local group
• 4734 – A security-enabled local group was deleted
• 4735 – A security-enabled local group was changed
• 4737 – A security-enabled global group was changed
• 4738 – A user account was changed
• 4741 – A computer account was created
• 4742 – A computer account was changed
• 4743 – A computer account was deleted
• 4754 – A security-enabled universal group was created
• 4755 – A security-enabled universal group was changed
• 4756 – A member was added to a security-enabled universal group
• 4757 – A member was removed from a security-enabled universal group
• 4758 – A security-enabled universal group was deleted

Para el ejemplo que elaboramos para este artículo, seleccionamos tanto algunos de los anteriores como otras correspondientes a otras subcategorías como “Directorio Activo”:

• 4726 – A user account was deleted
• 4720 – A user account was created
• 4756 – A member was added to a security-enabled universal group
• 4662 - An operation was performed on an object
• 4624 - An account was successfully logged on
• 4672 - Special privileges assigned to new logon

Con esto tendríamos lo básico para controlar los accesos a nuestro servidor.

Si nos fijamos, con los eventos de “Account Management” estaríamos controlando la creación y borrado de nuevas cuentas, a la vez que sabríamos cuando se asigna una cuenta a un grupo de seguridad. Los eventos relacionados con el “Directorio Activo” nos permiten, por ejemplo, ver quién se ha registrado en el servidor con permisos de administrador.

El contenido de un evento sería como lo que se muestra a continuación:

En la primera columna tenemos el código del evento y en la segunda un texto con todos los detalles del evento.

Existen eventos que tienen un texto descriptivo muy similar o igual. Para saber cuál utilizar, podemos echar un vistazo a la categoría y subtipo. Y si todavía no lo tuviésemos claro. Lo más sencillo sería realizar unas pocas pruebas que nos permitan ver cuál de ellos aparece y en caso de aparecer los dos, estudiar qué información nos aporta.

Un de las problemáticas a las que hay que enfrentarse a la hora de trabajar con los eventos de Windows es la “suciedad”. Por ejemplo, el evento 4662 muestra cualquier modificación que se realiza sobre un objeto del Directorio Activo; el propio sistema realiza cambios en ellos lo que acaba generando una enorme cantidad de eventos de este tipo. En estos casos, está bien buscar alguna forma de filtrado, para solo almacenar o estudiar los elementos que sean de verdadero interés.

Esperamos haber arrojado algo de luz sobre la monitorización de eventos de los sistemas operativos Windows. Si tienes alguna duda o necesitas consultarnos, en Muutech estaremos encantados de atenderte.