Visor de eventos

componente de Windows
Visor de eventos
tipo de componente Utilidad
Incluido en Windows NT
Estado Actual

Event Viewer es un  componente incluido en los sistemas operativos de la familia Windows NT desarrollado por Microsoft , que permite a los administradores ver el registro de eventos en una computadora local o en una máquina remota. En Windows Vista , Microsoft ha rediseñado el sistema de eventos. [una]

Debido a los informes regulares de errores menores de inicio y procesamiento de eventos (que en realidad no dañan ni dañan la computadora), los estafadores a menudo usan el software bajo la apariencia de "soporte técnico" para convencer a los usuarios que no están familiarizados con Event Viewer de que su computadora contiene errores críticos y necesita soporte técnico inmediato. Un ejemplo es el campo "Eventos administrativos" en la sección "Vistas personalizadas", que puede contener más de mil errores o advertencias registradas en un mes.

Descripción

Windows NT ha tenido registros de eventos desde su lanzamiento en 1993. Las aplicaciones y los componentes del sistema operativo pueden usar este servicio de registro centralizado para informar eventos que han ocurrido, como cuando se inició un componente o se realizó una acción.

El Visor de eventos utiliza ID de eventos para identificar eventos identificables de forma única que puede experimentar una computadora basada en Windows . Por ejemplo, cuando falla la autenticación del usuario, el sistema puede generar el ID de evento 672.

Windows NT 4.0 obtuvo soporte para identificar "orígenes de eventos" (aplicaciones que generaron el evento) y realizar copias de seguridad de registros.

Windows 2000 agregó la capacidad para que las aplicaciones creen sus propias fuentes de registro además de los tres registros del sistema Sistema, Aplicación y Seguridad. Windows 2000 también reemplazó el Visor de eventos de Windows NT 4.0 con Microsoft Management Console (MMC).

Windows Server 2003 agregó llamadas AuthzInstallSecurityEventSource () API para permitir que las aplicaciones se registren con registros de seguridad y registren entradas de auditoría de seguridad. [2]

Las versiones de Windows basadas en el kernel de Windows NT 6.0 (Windows Vista y Windows Server 2008 ) ya no tienen un límite de 300 MB en el tamaño total del registro. Antes del kernel NT 6.0 , el sistema abría archivos en el disco como archivos asignados a la memoria en el espacio de la memoria del kernel, que utilizaba los mismos grupos de memoria que otros componentes del kernel. Los archivos del Visor de eventos con una extensión .evtx generalmente aparecen en un directorio comoC: \ Windows \ System32 \ winevt \ Logs \

Windows XP (línea de comandos)

Windows XP proporciona un conjunto de tres herramientas de línea de comandos útiles para automatizar tareas:

Windows Vista

El Visor de eventos consta de una arquitectura reescrita para el seguimiento y registro de eventos en Windows Vista. [1] Se ha reescrito como un formato de registro XML estructurado y un tipo específico de registro para permitir que las aplicaciones registren eventos con mayor precisión y para ayudar al soporte técnico y a los desarrolladores a comprender los eventos. La representación XML del evento se puede ver en la pestaña Detalles de las propiedades del evento. Además, puede ver todos los eventos potenciales, sus estructuras, los propietarios de eventos registrados y su configuración mediante la utilidad wevtutil , incluso antes de que comiencen los eventos. Hay una gran cantidad de registros de eventos de varios tipos, incluidos registros administrativos, operativos, analíticos y de depuración. Al seleccionar el nodo Registros de aplicaciones en el panel Ámbito, se revelan muchas subcategorías nuevas de registro de eventos, incluidos muchos registros de diagnóstico etiquetados. Los eventos analíticos y de depuración que son de alta frecuencia se almacenan directamente a través del archivo de seguimiento, mientras que los eventos administrativos y operativos no son raros para proporcionar un procesamiento adicional sin afectar el rendimiento del sistema, por lo que se envían al servicio de registro de eventos. Los eventos se publican de forma asíncrona para reducir el impacto en el rendimiento de la aplicación de publicación de eventos. Los atributos de evento también son mucho más granulares y muestran las propiedades "ID de evento", "Nivel", "Tarea", "Código de operación" y "Palabras clave".

Los usuarios pueden filtrar los registros de eventos por uno o más criterios o una expresión XPath 1.0 limitada, y se pueden crear vistas personalizadas para uno o más eventos. El uso de XPath como lenguaje de consulta le permite ver registros relacionados solo con un subsistema específico o un problema con solo un componente específico, archivar eventos de selección y enviar seguimientos sobre la marcha al soporte técnico.

Suscriptores de eventos

Los suscriptores de eventos principales incluyen los servicios Event Collector y Task Scheduler 2.0. El servicio Event Collector puede reenviar automáticamente registros de eventos a otros sistemas remotos que ejecutan Windows Vista, Windows Server 2008 o Windows Server 2003 R2 según un programa configurable. Los registros de eventos también se pueden ver de forma remota desde otras computadoras, o se pueden registrar y monitorear múltiples registros de eventos de manera centralizada sin un agente y administrarlos desde una sola computadora. Los eventos también se pueden vincular directamente a tareas que se ejecutan en el Programador de tareas modificado y activar acciones automáticas cuando ocurren ciertos eventos.

Véase también

Notas

  1. ↑ 1 2 Windows Vista: nuevas herramientas para la gestión de eventos en Windows Vista (enlace descendente) . www.microsoft.com. Consultado el 18 de enero de 2018. Archivado desde el original el 17 de diciembre de 2007. 
  2. Función AuthzInstallSecurityEventSource (Windows  ) . msdn2.microsoft.com. Consultado el 18 de enero de 2018. Archivado desde el original el 20 de diciembre de 2007.

Enlaces