Visor de eventos

Registro del visor de eventos

Visor de eventos en Windows 10
Desarrollador (es)	Microsoft
Sistema operativo	Microsoft Windows
Nombre del Servicio	Registro de eventos de Windows (registro de eventos )
Tipo	Software de utilidad
Sitio web	www .microsoft .com

Visor de eventos es un componente de Microsoft 's Windows NT sistema operativo que permite a los administradores y los usuarios ver los registros de sucesos en un equipo local o remoto. Las aplicaciones y los componentes del sistema operativo pueden utilizar este servicio de registro centralizado para informar eventos que han tenido lugar, como la falla al iniciar un componente o al completar una acción. En Windows Vista , Microsoft revisó el sistema de eventos. ^[1]

Debido a los informes de rutina del Visor de eventos de errores menores de inicio y procesamiento (que, de hecho, no dañan ni dañan la computadora), los estafadores de soporte técnico utilizan con frecuencia el software para engañar a la víctima haciéndole creer que su computadora contiene elementos críticos. errores que requieren soporte técnico inmediato. ^[2] Un ejemplo es el campo "Eventos administrativos" en "Vistas personalizadas", que puede tener más de mil errores o advertencias registradas durante un mes.

Resumen [ editar ]

Windows NT ha presentado registros de eventos desde su lanzamiento en 1993.

El Visor de eventos utiliza identificadores de eventos para definir los eventos identificables de forma única que puede encontrar una computadora con Windows. Por ejemplo, cuando falla la autenticación de un usuario , el sistema puede generar el Id. De evento 672.

Windows NT 4.0 agregó soporte para definir "fuentes de eventos" (es decir, la aplicación que creó el evento) y realizar copias de seguridad de los registros.

Windows 2000 agregó la capacidad para que las aplicaciones creen sus propias fuentes de registro además de los tres archivos de registro "Sistema", "Aplicación" y "Seguridad" definidos por el sistema. Windows 2000 también reemplazó el Visor de eventos de NT4 con un complemento de Microsoft Management Console (MMC) .

Windows Server 2003 agregó las AuthzInstallSecurityEventSource()llamadas a la API para que las aplicaciones pudieran registrarse con los registros de eventos de seguridad y escribir entradas de auditoría de seguridad. ^[3]

Las versiones de Windows basadas en el kernel de Windows NT 6.0 ( Windows Vista y Windows Server 2008 ) ya no tienen un límite de 300 megabytes en su tamaño total. Antes de NT 6.0, el sistema abría archivos en disco como archivos mapeados en memoria en el espacio de memoria del kernel, que usaba las mismas agrupaciones de memoria que otros componentes del kernel.

Los archivos de registro del Visor de eventos con la extensión de nombre de archivo evtx suelen aparecer en un directorio comoC:\Windows\System32\winevt\Logs\

Interfaz de línea de comandos [ editar ]

eventquery.vbs, eventcreate, eventtriggers
Desarrollador (es)	Microsoft
Versión inicial	25 de octubre de 2001 ; Hace 19 años ( 25/10/2001 )
Sistema operativo	Microsoft Windows
Tipo	Mando
Licencia	Software comercial patentado
Sitio web	docs .microsoft .com / es-es / windows-server / administración / windows-commands / eventcreate

Windows XP introdujo un conjunto de tres herramientas de interfaz de línea de comandos , útiles para la automatización de tareas:

eventquery.vbs- Script oficial para consultar, filtrar y generar resultados basados en los registros de eventos. ^[4] Discontinuado después de XP.
eventcreate- un comando (continúa en Vista y 7) para poner eventos personalizados en los registros. ^[5]
eventtriggers- un comando para crear tareas impulsadas por eventos. ^[6] Suspendido después de XP, reemplazado por la función "Adjuntar tarea a este evento".

Windows Vista [ editar ]

El Visor de eventos consta de una arquitectura de registro y seguimiento de eventos reescrita en Windows Vista. ^[1] Se ha reescrito en torno a un formato de registro XML estructurado y un tipo de registro designado para permitir que las aplicaciones registren eventos con mayor precisión y para ayudar a que los técnicos de soporte y los desarrolladores interpreten los eventos con mayor facilidad.

La representación XML del evento se puede ver en la pestaña Detalles en las propiedades de un evento. También es posible ver todos los eventos potenciales, sus estructuras, los editores de eventos registrados y su configuración utilizando la utilidad wevtutil , incluso antes de que se activen los eventos.

Hay una gran cantidad de diferentes tipos de registros de eventos, incluidos los tipos de registro administrativo, operativo, analítico y de depuración. Al seleccionar el nodo Registros de la aplicación en el panel Ámbito, se muestran numerosos registros de eventos subcategorizados nuevos, incluidos muchos etiquetados como registros de diagnóstico.

Los eventos analíticos y de depuración que son de alta frecuencia se guardan directamente en un archivo de seguimiento, mientras que los eventos administrativos y operativos son lo suficientemente poco frecuentes como para permitir un procesamiento adicional sin afectar el rendimiento del sistema, por lo que se entregan al servicio de registro de eventos.

Los eventos se publican de forma asincrónica para reducir el impacto en el rendimiento de la aplicación de publicación de eventos . Los atributos de evento también son mucho más detallados y muestran las propiedades EventID, Level, Task, Opcode y Keywords.

Los usuarios pueden filtrar los registros de eventos por uno o más criterios o por una expresión XPath 1.0 limitada , y se pueden crear vistas personalizadas para uno o más eventos. El uso de XPath como lenguaje de consulta permite ver registros relacionados solo con un determinado subsistema o un problema con solo un determinado componente, archivar eventos seleccionados y enviar rastreos sobre la marcha a los técnicos de soporte.

Filtrado con XPath 1.0 [ editar ]

Esta sección contiene instrucciones, consejos o contenido instructivo . El propósito de Wikipedia es presentar hechos, no entrenar. Ayude a mejorar este artículo reescribiendo el contenido de cómo hacerlo o moviéndolo a Wikiversity , Wikilibros o Wikivoyage . ( Agosto de 2019 )

Abrir registro de eventos de Windows
Expanda los registros de Windows
Seleccione el archivo de registro que le interese (en el ejemplo siguiente, se utiliza el registro de eventos de seguridad )
Haga clic con el botón derecho en el registro de eventos y seleccione Filtrar registro actual ...
Cambiar la pestaña seleccionada de Filtro a XML
Marque la casilla para Editar consulta manualmente '
Pegue la consulta en el cuadro de texto. Las consultas de muestra se pueden encontrar a continuación.

A continuación, se muestran ejemplos de filtros personalizados sencillos para el nuevo registro de eventos de la ventana:

Seleccione todos los eventos en el Registro de eventos de seguridad donde el nombre de la cuenta involucrada (TargetUserName) es "JUser"
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>
Seleccione todos los eventos en el registro de eventos de seguridad donde cualquier nodo de datos de la sección EventData es la cadena "JUser"
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>
Seleccione todos los eventos en el Registro de eventos de seguridad donde cualquier nodo de datos de la sección EventData sea "JUser" o "JDoe"
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>
Seleccione todos los eventos en el registro de eventos de seguridad donde cualquier nodo de datos de la sección EventData es "JUser" y el ID de evento es "4471"
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>
Ejemplo del mundo real para un paquete llamado Goldmine que tiene dos @Names
<QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

Advertencias:

Existen limitaciones para la implementación de XPath de Microsoft ^[7]
Las consultas que utilizan funciones de cadena XPath darán como resultado un error ^[8]

Suscriptores del evento [ editar ]

Los suscriptores de eventos importantes incluyen el servicio Event Collector y Task Scheduler 2.0. El servicio Event Collector puede reenviar automáticamente los registros de eventos a otros sistemas remotos, que ejecutan Windows Vista , Windows Server 2008 o Windows Server 2003 R2 en una programación configurable. Los registros de eventos también se pueden ver de forma remota desde otras computadoras o se pueden registrar y monitorear múltiples registros de eventos de manera centralizada sin un agente y se pueden administrar desde una sola computadora. Los eventos también se pueden asociar directamente con tareas, que se ejecutan en el Programador de tareas rediseñado y desencadenan acciones automatizadas cuando ocurren eventos particulares.

Ver también [ editar ]

Lista de componentes de Microsoft Windows
Consola de administración de Microsoft
Estafa de soporte técnico

Referencias [ editar ]

^ a b "Nuevas herramientas para la gestión de eventos en Windows Vista" . TechNet . Microsoft . Noviembre de 2006.
^ Anderson, Nate (4 de octubre de 2012). " " Te estoy llamando desde Windows ": un estafador de soporte técnico marca Ars Technica" . Ars Technica .
^ "Función AuthzInstallSecurityEventSource" . MSDN . Microsoft . Consultado el 5 de octubre de 2007 .
^ LLC), Tara Meyer (Aquent. "Eventquery.vbs" . Docs.microsoft.com .
^ LLC), Tara Meyer (Aquent. "Eventcreate" . Docs.microsoft.com .
^ LLC), Tara Meyer (Aquent. "Eventtriggers" . Docs.microsoft.com .
^ "Implementación de Microsoft y limitaciones de XPath 1.0 en el registro de eventos de Windows" . MSDN . Microsoft . Consultado el 7 de agosto de 2009 .
^ "Script de Powershell para filtrar eventos usando una consulta Xpath" . Consultado el 20 de septiembre de 2011 .

Enlaces externos [ editar ]

Wikilibros tiene un libro sobre el tema: Guía de comandos de Windows

Fuentes oficiales:
- Documentación para desarrolladores para el registro de eventos (NT 3.1 a XP) , (Windows Vista)
- Descripciones de eventos de seguridad de Windows 2000 (Parte 1 de 2) , (Parte 2 de 2)
- Seguridad de Windows Server 2003 - Amenazas y contramedidas - Capítulo 6: Registro de eventos de Microsoft TechNet
- Eventos y errores (Windows Server 2008) en Microsoft TechNet
Otro:
- eventid.net : contiene varios miles de entradas de registro de eventos de Windows junto con sugerencias de solución de problemas para cada una de ellas

[Eventlog-1] "Nuevas herramientas para la gestión de eventos en Windows Vista" . TechNet . Microsoft . Noviembre de 2006.

[2] Anderson, Nate (4 de octubre de 2012). " " Te estoy llamando desde Windows ": un estafador de soporte técnico marca Ars Technica" . Ars Technica .

[3] "Función AuthzInstallSecurityEventSource" . MSDN . Microsoft . Consultado el 5 de octubre de 2007 .

[4] LLC), Tara Meyer (Aquent. "Eventquery.vbs" . Docs.microsoft.com .

[5] LLC), Tara Meyer (Aquent. "Eventcreate" . Docs.microsoft.com .

[6] LLC), Tara Meyer (Aquent. "Eventtriggers" . Docs.microsoft.com .

[7] "Implementación de Microsoft y limitaciones de XPath 1.0 en el registro de eventos de Windows" . MSDN . Microsoft . Consultado el 7 de agosto de 2009 .

[8] "Script de Powershell para filtrar eventos usando una consulta Xpath" . Consultado el 20 de septiembre de 2011 .

[1]

vtmi Programas de línea de comandos de Windows y elementos integrados de shell
COMMAND.COM Símbolo del sistema Windows PowerShell Consola de recuperación
Navegación del sistema de archivos	cd (chdir) dir popd empujado árbol
Gestión de archivos	attrib cacls cifrar compacto Copiar del (borrar) deltree icacls mkdir (md) mklink moverse abrir archivos recuperar ren (renombrar) reemplazar rmdir (rd) robocopia despojo xcopiar
Archivar	expandir extrac32 extraer makecab paz alquitrán
Gestión de discos	chkdsk convertir desfragmentar diskcomp discocopia diskpart diskraid sombra de disco drvspace fdisk formato futil etiqueta administrar-bde subst scandisk sys vol vssadmin
Procesos	a Salida matar powercfg correr como Carolina del Sur schtasks cerrar comienzo Taskkill lista de tareas
Registro	assoc ftype reg regini regsvr32
Entorno de usuario	chcp cmdkey fecha graftabl modo camino colocar setver setx hora título ver dónde quién soy
Contenido del archivo	comp editar edlin fc encontrar Findstr impresión tipo
Scripting	elección acortar cscript doskey eco por forfiles ir Si más pausa inmediato movimiento rápido del ojo se acabó el tiempo
Redes	arpa BITSAdmin rizo getmac nombre de host ipconfig nbtstat neto netsh netstat nslookup PathPing silbido rpcping ruta scp sftp ssh ssh-add ssh-agent ssh-keygen ssh-keyscan tracert winrm ganadores
Mantenimiento y cuidado	auditpol dispdiag conductor eventcrear desencadenadores de eventos logman mofcomp msiexec ntbackup pnpunattend pnputil REAgentC volver a registrar sfc sxstrace información del sistema trazar typeperf w32tm WBAdmin wecutil wevtutil winmgmt Winsat wmic
Gestión de arranque	bcdedit bootcfg bootsect fixboot fixmbr
Desarrollo de software	depurar exe2bin QBasic
Diverso	rotura cls dism dpath gpresult gpupdate ayuda MSCDEX reprimido wsl
Lista de comandos de DOS Variables de entorno Herramientas de soporte de Windows