1 00:00:00,430 --> 00:00:07,309 buenas vamos a hacer lo que son la suscripción de eventos vale entonces vamos a ver cuál es el 2 00:00:07,309 --> 00:00:14,470 laboratorio de que disponemos vamos a partir de este windows server 2022 de acuerdo en el 3 00:00:14,470 --> 00:00:23,109 que vamos a hacer que desde aquí sea el recolector de eventos de otro equipo que es el que va a 4 00:00:23,109 --> 00:00:28,750 generar los eventos de acuerdo entonces este servidor quiero que veáis que se llama servidor 5 00:00:28,750 --> 00:00:32,409 de 01, ¿de acuerdo? Entonces 6 00:00:32,409 --> 00:00:36,829 quiero que veáis aquí que este es el nombre porque lo vamos a 7 00:00:36,829 --> 00:00:40,789 necesitar ahora para hacer y configurar en este caso, por decirlo de alguna 8 00:00:40,789 --> 00:00:44,710 manera, el cliente. Y ahora en el otro equipo 9 00:00:44,710 --> 00:00:48,789 que este es el que queremos que todos los eventos que genere o aquellos 10 00:00:48,789 --> 00:00:52,950 que nosotros digamos se envíen en este caso a este servidor 11 00:00:52,950 --> 00:00:57,070 servidor 01, ¿de acuerdo? Entonces dentro de este servidor 12 00:00:57,070 --> 00:00:59,850 vamos a tener que hacer varias cosas 13 00:00:59,850 --> 00:01:03,170 la primera, si nos vamos a herramientas 14 00:01:03,170 --> 00:01:06,909 y nos vamos en este caso al visor de eventos 15 00:01:06,909 --> 00:01:10,930 que lo tengo por aquí, visor de eventos, el que tengo seleccionado ahora 16 00:01:10,930 --> 00:01:16,420 lo vamos a abrir 17 00:01:16,420 --> 00:01:25,310 este lo voy a minimizar 18 00:01:25,310 --> 00:01:30,069 y quiero que veáis que lo que queremos hacer es aquí el que pone suscripciones 19 00:01:30,069 --> 00:01:33,989 cuando yo pincho en el que me pone suscripciones 20 00:01:33,989 --> 00:01:36,170 me aparece este mensaje 21 00:01:36,170 --> 00:01:45,129 Y este mensaje me está diciendo que para que esta suscripción funcione, necesito que haya un servicio, en este caso, que esté ejecutándose. 22 00:01:45,269 --> 00:01:47,629 Y ese servicio es el que se llama recopilador de eventos. 23 00:01:48,310 --> 00:01:51,409 Voy a abrir en un momento, en este caso, los servicios. 24 00:01:51,689 --> 00:01:52,810 Me voy a herramientas. 25 00:01:53,109 --> 00:01:54,609 Vamos a ir aquí a servicios. 26 00:01:54,609 --> 00:02:16,389 Y si buscamos aquí el recopilador de eventos, lo tenemos aquí, no sé si lo veis, que en este caso está puesto que este servicio no está ejecutándose y que el tipo de inicio que te ha puesto es manual. 27 00:02:16,389 --> 00:02:27,330 ¿De acuerdo? Entonces, este que tenemos aquí. ¿Qué es lo que me está diciendo? Pues que para que eso me funcione, este servicio se tiene que estar funcionando. ¿De acuerdo? 28 00:02:28,469 --> 00:02:45,590 Entonces, si nos damos aquí al visor, le decimos que sí. ¿De acuerdo? Ya tengo preparado esto. Si ahora yo me voy aquí al servicio y refrescamos esto, pues veis que está en ejecución y que me ha puesto ahora en automático inicio retrasado. 29 00:02:46,389 --> 00:02:49,629 ¿De acuerdo? Entonces es un servicio que tengo que tener activado. 30 00:02:51,990 --> 00:02:54,509 Ahora, ¿qué es lo que tenemos que hacer en el cliente? 31 00:02:55,689 --> 00:02:57,710 Nos vamos al Windows 10, ¿de acuerdo? 32 00:02:58,169 --> 00:02:59,469 Estamos ahora en el Windows 10. 33 00:02:59,610 --> 00:03:01,969 He entrado con un usuario administrador local. 34 00:03:02,310 --> 00:03:07,069 En este caso he entrado con el usuario que se llama usuario, valga la redundancia. 35 00:03:07,069 --> 00:03:10,870 Y este usuario, en este caso, es un usuario local administrador. 36 00:03:11,030 --> 00:03:11,370 ¿De acuerdo? 37 00:03:12,810 --> 00:03:13,949 ¿Y qué es lo que vamos a hacer? 38 00:03:14,009 --> 00:03:16,009 Vamos a abrir un PowerShell, botón derecho. 39 00:03:16,389 --> 00:03:31,949 Windows PowerShell y lo vamos a abrir como administrador y aquí lo que tenemos que hacer es activar en este caso el WinRM para que se pueda gestionar remotamente todo lo que es correspondiente al equipo. 40 00:03:31,949 --> 00:03:35,550 ¿Qué quiere decir esto de WinRM? 41 00:03:35,729 --> 00:03:38,250 Si aquí vamos a servicios, voy a abrir aquí servicios 42 00:03:38,250 --> 00:03:49,240 Hay un servicio que es el que voy a mostrar ahora 43 00:03:49,240 --> 00:03:55,490 El que estoy seleccionando ahora, el que se llama Administración Remota de Windows 44 00:03:55,490 --> 00:03:57,669 Este servicio quiero que veáis 45 00:03:57,669 --> 00:04:02,289 Que me dice Servicio de Administración Remota de Windows, Implementa Protocolo, bla bla bla 46 00:04:02,289 --> 00:04:05,349 Y este servicio es el que necesito que esté funcionando 47 00:04:05,349 --> 00:04:08,050 Para que esa comunicación entre este ordenador y el servidor 48 00:04:08,050 --> 00:04:09,610 Y el servidor de esta comunicación sea viable 49 00:04:09,610 --> 00:04:13,930 fijaros que está puesto como manual y no se está ejecutando de acuerdo entonces 50 00:04:13,930 --> 00:04:18,610 tenemos que configurar este servicio es decir lo tenemos que ejecutar y no 51 00:04:18,610 --> 00:04:26,230 solamente eso sino que para que haya un tráfico y que el firewall de este 52 00:04:26,230 --> 00:04:33,870 ordenador no impida que lo que venga del servidor lo bloquee tenemos que habilitar 53 00:04:33,870 --> 00:04:37,629 una regla en el firewall para que esta comunicación sea posible de acuerdo 54 00:04:37,629 --> 00:04:40,170 Entonces, vamos a abrir el Firewall 55 00:04:40,170 --> 00:04:45,620 Me voy aquí a comprobar el estado del Firewall 56 00:04:45,620 --> 00:04:49,699 Tenemos todo activo, me voy a configuración avanzada 57 00:04:49,699 --> 00:04:54,040 ¿De acuerdo? Entramos en configuración avanzada 58 00:04:54,040 --> 00:05:01,610 Y me voy a las reglas de entrada 59 00:05:01,610 --> 00:05:03,709 Entonces, quiero que veáis 60 00:05:03,709 --> 00:05:07,529 Que aquí, para que esto me funcione correctamente 61 00:05:07,529 --> 00:05:10,490 Y no me esté bloqueando las conexiones entrantes 62 00:05:10,490 --> 00:05:12,629 Hay un servicio que necesito 63 00:05:12,629 --> 00:05:15,509 al perder un servicio, una regla que tengo que estar habilitada 64 00:05:15,509 --> 00:05:18,009 esta regla es esta de aquí, que me pone 65 00:05:18,009 --> 00:05:21,310 administración remota de Windows, HTTP de entrada 66 00:05:21,310 --> 00:05:24,629 fijaros que aquí yo lo voy a habilitar porque 67 00:05:24,629 --> 00:05:27,550 este laboratorio lo estoy haciendo con un dominio 68 00:05:27,550 --> 00:05:29,790 fijaros que aquí en el servidor 69 00:05:29,790 --> 00:05:33,029 os recuerdo que aquí en el servidor tenemos un dominio que se llama 70 00:05:33,029 --> 00:05:36,949 canaveral.local y este es un equipo que está unido al dominio 71 00:05:36,949 --> 00:05:39,790 ¿de acuerdo? entonces dentro del cliente 72 00:05:39,790 --> 00:05:45,269 estoy otra vez dentro del Windows 10, aquí no me interesa el del público, me interesa este, ¿de acuerdo? 73 00:05:45,310 --> 00:05:52,069 El que se llama Administración Remota de Windows y el que es, en este caso, el perfil de dominio privado, ¿de acuerdo? 74 00:05:52,850 --> 00:06:03,110 ¿Por qué os digo esto? Porque ahora voy a minimizar esto y quiero que, os he dicho que abráis el PowerShell en modo Administración 75 00:06:03,110 --> 00:06:06,850 porque esto que os digo que tenemos que hacer, hay un comando que ya lo hace. 76 00:06:06,850 --> 00:06:09,230 Entonces vamos a ejecutar 77 00:06:09,230 --> 00:06:10,569 ¿Qué comando vamos a ejecutar? 78 00:06:10,850 --> 00:06:12,350 Pues vamos a ejecutar este comando 79 00:06:12,350 --> 00:06:16,129 WinRM 80 00:06:16,129 --> 00:06:20,490 Y el QC 81 00:06:20,490 --> 00:06:22,509 Esto es de Quick Config 82 00:06:22,509 --> 00:06:24,110 Configuración rápida 83 00:06:24,110 --> 00:06:26,670 Entonces le decimos WinRM 84 00:06:26,670 --> 00:06:27,490 QC 85 00:06:27,490 --> 00:06:29,910 Le doy y me dice 86 00:06:29,910 --> 00:06:33,730 Oye, Windows no está configurado para recibir solicitudes en este equipo 87 00:06:33,730 --> 00:06:35,470 Se deben realizar los siguientes cambios 88 00:06:35,470 --> 00:06:37,610 Inicie el servicio de WinRM 89 00:06:37,610 --> 00:06:40,569 el que os he dicho que es este de aquí 90 00:06:40,569 --> 00:06:42,269 ¿de acuerdo? eso es lo que va a hacer 91 00:06:42,269 --> 00:06:46,990 y me dice, oye, establezca el tipo de servicio como inicio automático aplazado 92 00:06:46,990 --> 00:06:49,689 ¿desea realizar estos cambios? pues obviamente le decimos que yes 93 00:06:49,689 --> 00:06:53,009 le damos al enter 94 00:06:53,009 --> 00:06:54,870 me dice que se ha actualizado 95 00:06:54,870 --> 00:06:57,649 y ahora me dice, se cambió el tipo de servicio correctamente 96 00:06:57,649 --> 00:07:02,149 y ahora me dice, Windows no está configurado para permitir acceso remoto al equipo para administración 97 00:07:02,149 --> 00:07:05,550 es decir, que ahí el firewall me está bloqueando 98 00:07:05,550 --> 00:07:07,250 me dice, se deben realizar los siguientes cambios 99 00:07:07,250 --> 00:07:09,410 habilitar la sección del Firewall WinRM 100 00:07:09,410 --> 00:07:11,089 quieres habilitarla, es decir 101 00:07:11,089 --> 00:07:13,230 quieres realizar estos cambios, le decimos que yes 102 00:07:13,230 --> 00:07:16,779 y me dice 103 00:07:16,779 --> 00:07:17,839 que ya lo tengo habilitado 104 00:07:17,839 --> 00:07:20,740 vamos a ver que narices ha hecho esto, si yo me voy 105 00:07:20,740 --> 00:07:22,480 a servicios, refrescamos 106 00:07:22,480 --> 00:07:24,699 y quiero que veáis que ahora 107 00:07:24,699 --> 00:07:26,560 me dice que está en ejecución 108 00:07:26,560 --> 00:07:28,300 y me lo ha puesto como inicio 109 00:07:28,300 --> 00:07:29,319 retrasado 110 00:07:29,319 --> 00:07:32,040 vale 111 00:07:32,040 --> 00:07:34,620 entonces esto es lo primero que nos ha hecho 112 00:07:34,620 --> 00:07:36,680 ¿cuál es lo segundo que nos ha hecho? habilitar una 113 00:07:36,680 --> 00:07:37,800 regla dentro del Firewall 114 00:07:37,800 --> 00:07:40,240 ¿Qué regla nos has hecho habilitar en el Firewall? 115 00:07:40,339 --> 00:07:41,259 Pues vamos a verlo 116 00:07:41,259 --> 00:07:42,920 Nos vamos aquí al Firewall 117 00:07:42,920 --> 00:07:45,199 Voy a refrescar esto 118 00:07:45,199 --> 00:07:48,439 Y si bajamos para abajo, quiero que veáis que ha pasado 119 00:07:48,439 --> 00:07:50,100 ¿Veis que me aparece aquí la V ya? 120 00:07:50,680 --> 00:07:50,779 ¿Vale? 121 00:07:53,870 --> 00:07:56,509 Pues quiere decir que esta es la que nos ha habilitado 122 00:07:56,509 --> 00:07:58,170 ¿A nivel de qué? De dominio privado 123 00:07:58,170 --> 00:08:01,769 ¿Por qué? Porque resulta que el perfil que tenemos activado actualmente es de dominio 124 00:08:01,769 --> 00:08:03,870 Porque este equipo está unido al dominio 125 00:08:03,870 --> 00:08:07,370 ¿De acuerdo? Entonces que sepáis que es lo que hace ese comando 126 00:08:07,370 --> 00:08:08,509 Simplemente, ¿de acuerdo? 127 00:08:08,509 --> 00:08:25,209 ¿Vale? Más cosas. Esto es por un lado. Segundo, tenemos que, en este caso, meter dentro de un grupo específico, ¿vale? En este caso, al equipo servidor, es decir, a este equipo, al servidor 01. 128 00:08:25,209 --> 00:08:41,879 ¿En qué grupo lo tenemos que meter? Lo hago en modo gráfico y luego lo hago en modo comando para que lo veáis. Nos vamos a ir a botón derecho en este equipo, administrar, y nos vamos a ir en este caso a usuarios y grupos y nos vamos a ir a grupos. 129 00:08:41,879 --> 00:08:46,259 y quiero que veáis que aquí hay un grupo que es el que ahora nos interesa 130 00:08:46,259 --> 00:08:52,600 que es el que se llama lectores de registro de eventos 131 00:08:52,600 --> 00:08:56,779 yo lo voy a hacer desde aquí y luego lo hacemos en modo comando 132 00:08:56,779 --> 00:08:59,659 yo le voy a decir botón derecho, me voy a propiedades 133 00:08:59,659 --> 00:09:03,019 y ahora veis que aquí no tengo ningún grupo 134 00:09:03,019 --> 00:09:04,820 ¿a quién tengo que meter aquí? 135 00:09:05,039 --> 00:09:11,600 tengo que meter en primer lugar al equipo 136 00:09:11,600 --> 00:09:14,299 que el que quiero que sea el recolector de eventos 137 00:09:14,299 --> 00:09:16,059 es decir, tengo que meter a este ordenador 138 00:09:16,059 --> 00:09:17,100 al servidor 01 139 00:09:17,100 --> 00:09:20,139 entonces, repito, lo hago en modo gráfico 140 00:09:20,139 --> 00:09:21,360 y luego lo hago en modo comando 141 00:09:21,360 --> 00:09:23,360 botón derecho, propiedades 142 00:09:23,360 --> 00:09:25,519 le doy al botón de agregar 143 00:09:25,519 --> 00:09:28,000 ¿vale? y ahora fijaros 144 00:09:28,000 --> 00:09:30,039 que me va a buscar dentro del cañaveral 145 00:09:30,039 --> 00:09:31,639 ¿qué es lo que me va a buscar? 146 00:09:32,059 --> 00:09:34,000 usuarios, cuentas de servicios 147 00:09:34,000 --> 00:09:35,980 o grupos, yo no quiero eso, yo quiero que me busque 148 00:09:35,980 --> 00:09:38,139 equipos, así que pincho en tipo de objeto 149 00:09:38,139 --> 00:09:41,059 ¿de acuerdo? 150 00:09:41,600 --> 00:09:51,360 Porque sí que quiero que me busquen el escáner verano, pero yo quiero que me busque tipos de objetos. En concreto, quiero que me busque equipos. 151 00:09:51,600 --> 00:10:08,539 Entonces metemos las credenciales de un usuario administrador del dominio, en este caso el administrador, y le voy a decir que lo que quiero que me busque son los equipos. 152 00:10:08,720 --> 00:10:18,759 Le digo aceptar, le doy a opciones avanzadas, buscar ahora y fijaros que me aparecen los dos. ¿Cuál voy a meter aquí? Pues el que os he dicho. 153 00:10:18,799 --> 00:10:23,399 el que va a ser el recolector, el que me va a coger los eventos que este ordenador genere. 154 00:10:24,299 --> 00:10:26,620 Entonces le damos a aceptar y le damos a aceptar. 155 00:10:27,240 --> 00:10:39,299 Este sería el primero que tengo que meter, porque para que en este caso decirle que el servidor va a poder leer los registros de este equipo. 156 00:10:39,299 --> 00:10:47,720 Y lo segundo que tengo que añadir dentro de aquí, de los lectores, es en este caso el grupo, un grupo especial de sistema que se llama servicio de red. 157 00:10:47,720 --> 00:10:49,559 entonces le damos a agregar 158 00:10:49,559 --> 00:10:52,019 y en este caso no quiero 159 00:10:52,019 --> 00:10:54,960 que me busque en el canaveral.local 160 00:10:54,960 --> 00:10:56,360 quiero que me busque en este equipo 161 00:10:56,360 --> 00:10:58,620 así que nos vamos a ubicaciones 162 00:10:58,620 --> 00:11:01,100 volvemos a meter las credenciales 163 00:11:01,100 --> 00:11:01,919 de un administrador 164 00:11:01,919 --> 00:11:11,549 uy que lo he metido mal, un segundo 165 00:11:11,549 --> 00:11:21,539 y le voy a decir que 166 00:11:21,539 --> 00:11:23,059 quiero buscar en el pc01 167 00:11:23,059 --> 00:11:25,759 no en el dominio, quiero que me busque en este equipo 168 00:11:25,759 --> 00:11:26,720 de acuerdo 169 00:11:26,720 --> 00:11:28,779 le doy a aceptar 170 00:11:28,779 --> 00:11:31,600 y le digo que lo que quiero que me busque 171 00:11:31,600 --> 00:11:49,419 No quiero que me busque usuarios. Le voy a decir otros objetos y entidades de seguridad. Le doy a aceptar. Le doy a opciones avanzadas y buscar ahora. ¿Cuál me interesa aquí? Pues hay un grupo que es el que se llama servicios de red. Este de aquí. 172 00:11:49,419 --> 00:11:53,299 ¿De acuerdo? Entonces le doy a aceptar y le doy a aceptar 173 00:11:53,299 --> 00:11:57,799 Estos son los dos miembros que tenéis que meter en los lectores de registro 174 00:11:57,799 --> 00:12:02,220 Para que en este caso, cuando dentro del 2000 server 175 00:12:02,220 --> 00:12:05,039 Nosotros le digamos que queremos hacer una suscripción 176 00:12:05,039 --> 00:12:10,019 Podamos en este caso leer del cliente todos los registros 177 00:12:10,019 --> 00:12:11,740 Y llevarlos en este caso al servidor 178 00:12:11,740 --> 00:12:16,019 ¿De acuerdo? Esto lo haría yo en modo gráfico 179 00:12:16,019 --> 00:12:18,279 Pero imaginaros que lo quiero hacer en modo comando 180 00:12:18,279 --> 00:12:22,919 Le voy a dar aquí un momento a aplicar y aceptar 181 00:12:22,919 --> 00:12:24,879 Y me voy a ir a PowerShell 182 00:12:24,879 --> 00:12:26,860 Yo no sé si os acordáis de este comando 183 00:12:26,860 --> 00:12:29,639 Este que voy a ponernos, obviamente 184 00:12:29,639 --> 00:12:45,950 El GetLocalGroup 185 00:12:45,950 --> 00:12:49,950 Si le doy, aquí nos salen todos los grupos que tengo 186 00:12:49,950 --> 00:12:52,649 Y aquí me salen los lectores de registro de eventos 187 00:12:52,649 --> 00:12:57,350 No sé si también os acordáis cómo podemos ver los miembros de un grupo 188 00:12:57,350 --> 00:13:01,429 Yo puedo utilizar el comando que se llama GetLocalGroupMember 189 00:13:01,429 --> 00:13:02,529 Vamos a probarlo 190 00:13:02,529 --> 00:13:11,980 Y le voy a decir al grupo 191 00:13:11,980 --> 00:13:14,460 Lectores de registro de eventos 192 00:13:14,460 --> 00:13:19,909 Y me dicen los dos que tenemos 193 00:13:19,909 --> 00:13:20,610 ¿De acuerdo? 194 00:13:21,370 --> 00:13:22,769 Pues vamos a hacerlo desde aquí 195 00:13:22,769 --> 00:13:24,730 Voy a deshacer lo que he hecho 196 00:13:24,730 --> 00:13:27,230 Me voy a ir a, en modo gráfico 197 00:13:27,230 --> 00:13:28,629 Lectores de registro de eventos 198 00:13:28,629 --> 00:13:29,549 Y vamos a quitar los dos 199 00:13:29,549 --> 00:13:32,649 Quito este, aplico y acepto 200 00:13:32,649 --> 00:13:33,750 Ya no he hecho nada, ¿de acuerdo? 201 00:13:33,850 --> 00:13:36,809 Es decir, yo ahora mismo lo tengo vacío 202 00:13:36,809 --> 00:13:38,649 ¿Cómo lo podemos añadir? 203 00:13:39,169 --> 00:13:40,629 Pues, os acordáis que en lugar de 204 00:13:40,629 --> 00:13:46,289 local.cum.bm tenemos el add local.cum.bm o el remove local.cum.bm. Pues vamos a añadir 205 00:13:46,289 --> 00:13:52,210 primeramente el ordenador, ¿de acuerdo? En este caso el servidor. Entonces para eso vamos 206 00:13:52,210 --> 00:13:58,029 a utilizar este comando. Le decimos que quiero añadir el grupo a lectores de registro y 207 00:13:58,029 --> 00:14:04,090 el miembro que quiero añadir es el nombre del dominio, pero del nombre en netbios, es 208 00:14:04,090 --> 00:14:08,509 decir, no tenemos que poner canabela.local, es canabelal, y luego seguido el nombre de 209 00:14:08,509 --> 00:14:33,360 Y por favor, importante, ponerle al final un dólar para indicar que es un equipo, ¿de acuerdo? Porque si no va a dar error. Le doy al Enter y ya lo tenemos añadido. ¿Qué es el otro que vamos a añadir? Pues el servicio de red. Pues añadimos el servicio de red y ejecutamos el mismo comando, pero poniendo en este caso como miembro servicios de red. ¿De acuerdo? 210 00:14:33,360 --> 00:14:37,659 entonces fijaros que si yo ahora me voy a modo gráfico 211 00:14:37,659 --> 00:14:39,100 pues tenemos que tener lo mismo que antes 212 00:14:39,100 --> 00:14:41,480 los lectores de registro, tanto el servidor 213 00:14:41,480 --> 00:14:43,440 como los servicios de red 214 00:14:43,440 --> 00:14:45,059 para que esa comunicación sea factible 215 00:14:45,059 --> 00:14:45,980 ¿de acuerdo? 216 00:14:47,360 --> 00:14:48,980 entonces en un principio 217 00:14:48,980 --> 00:14:51,440 en el cliente yo ya lo tendría preparado 218 00:14:51,440 --> 00:14:53,419 ¿si? ahora nos vamos 219 00:14:53,419 --> 00:14:55,299 a ir al servidor, me voy al servidor 220 00:14:55,299 --> 00:14:56,980 y vamos a crear una suscripción 221 00:14:56,980 --> 00:14:59,159 voy a empezar haciendo una suscripción 222 00:14:59,159 --> 00:15:01,159 super simple y luego 223 00:15:01,159 --> 00:15:03,159 vamos a hacer una suscripción 224 00:15:03,159 --> 00:15:10,299 más específica, ¿de acuerdo? Entonces le doy en suscripción, le digo botón derecho y veis que aquí en el submenú me aparece 225 00:15:10,299 --> 00:15:24,980 crea suscripción, pues si le doy a crear suscripción, le tenemos que poner un nombre, pues por ejemplo, los errores de aplicaciones, ¿vale? 226 00:15:25,799 --> 00:15:33,320 Por defecto que sepáis que todos estos registros se van a quedar almacenados en eventos reenviados, pero si pincháis aquí en el registro 227 00:15:33,320 --> 00:15:36,340 de eventos, vosotros le podéis decir 228 00:15:36,340 --> 00:15:39,039 o vosotras le podéis decir donde queréis que se almacenen 229 00:15:39,039 --> 00:15:42,379 entonces aquí os va a aparecer todos estos que veis 230 00:15:42,379 --> 00:15:44,059 aquí, de acuerdo 231 00:15:44,059 --> 00:15:48,360 son todos los eventos que nosotros tenemos dentro de 232 00:15:48,360 --> 00:15:50,179 el registro de 233 00:15:50,179 --> 00:15:53,159 voy a darle a cancelar un momento 234 00:15:53,159 --> 00:15:57,039 dentro del registro de aplicaciones 235 00:15:57,039 --> 00:16:00,600 dentro de eventos de Microsoft y dentro de Windows 236 00:16:00,600 --> 00:16:05,440 y perdón, dentro de, no aquí, dentro de Microsoft 237 00:16:05,440 --> 00:16:08,500 ¿vale? aquí tenéis en este caso 238 00:16:08,500 --> 00:16:10,539 todo eso que habéis visto en la lista 239 00:16:10,539 --> 00:16:12,299 son todo esto que tenéis aquí 240 00:16:12,299 --> 00:16:14,600 para decirle vosotros o vosotras 241 00:16:14,600 --> 00:16:15,759 donde queréis almacenarlo 242 00:16:15,759 --> 00:16:18,159 pero por defecto se me va a almacenar aquí 243 00:16:18,159 --> 00:16:19,840 el que tengo seleccionado ahora 244 00:16:19,840 --> 00:16:21,179 ¿de acuerdo? este de aquí 245 00:16:21,179 --> 00:16:23,600 entonces vamos a seguir haciéndolo 246 00:16:23,600 --> 00:16:26,840 voy a minimizar, voy a colapsar todo esto 247 00:16:26,840 --> 00:16:28,960 suscripciones, botón derecho, repetimos 248 00:16:28,960 --> 00:16:30,000 crear suscripción 249 00:16:30,000 --> 00:16:38,820 Yo qué sé, errores de aplicaciones 250 00:16:38,820 --> 00:16:43,039 Me dice que puedo hacer, en este caso, el tipo de exclusión 251 00:16:43,039 --> 00:16:45,580 O que lo puedo iniciar desde aquí, que es el que vamos a hacer ahora 252 00:16:45,580 --> 00:16:48,539 O lo puedo iniciar desde el equipo de origen, es decir, del cliente 253 00:16:48,539 --> 00:16:51,379 Nosotros vamos a hacer aquí, el que está puesto por defecto 254 00:16:51,379 --> 00:16:54,720 Entonces, ¿quién va a iniciar esta suscripción? 255 00:16:54,860 --> 00:16:55,879 Yo, el servidor 256 00:16:55,879 --> 00:16:57,500 Le digo, seleccionar los equipos 257 00:16:57,500 --> 00:17:00,840 Y aquí tengo que poner a qué equipo quiero suscribirme 258 00:17:00,840 --> 00:17:16,839 Para coger sus eventos, entonces aquí agregamos y vamos a agregar al nombre del equipo que teníamos, el nombre del equipo, si me voy aquí a botón derecho propiedades, pues este equipo si no recuerdo mal se llama PC1, ¿vale? 259 00:17:16,839 --> 00:17:43,220 ¿Lo veis aquí? Pues entonces yo aquí en el servidor le voy a poner directamente PC01, o lo puedo buscar, ¿eh? O sea, me da igual, le doy a aceptar, ¿vale? Y ahora, antes de seguir, ¿veis aquí el botón que me aparece probar? ¿Vale? Pues le doy aquí a probar y me dice que la prueba de conectividad es correcta, es decir, vamos bien, ¿de acuerdo? 260 00:17:43,220 --> 00:17:47,799 Si aquí os sale un error, comprobar lo que hemos configurado en el cliente, ¿de acuerdo? 261 00:17:48,480 --> 00:17:53,720 Le doy a aceptar y ahora le tengo que decir qué eventos quiero capturar, por decirlo de alguna manera. 262 00:17:54,000 --> 00:18:00,779 Entonces me voy a ir aquí a seleccionar en este caso el evento y vamos a poner uno fácil. 263 00:18:01,680 --> 00:18:04,980 Le voy a decir en este caso cuándo lo quiero registrar, ¿vale? 264 00:18:05,079 --> 00:18:08,740 En cualquier momento, la última hora, las últimas 12 horas, el último día, etc. 265 00:18:09,259 --> 00:18:12,720 Le digo en cualquier momento y le vamos a decir que quiero capturar los errores. 266 00:18:13,220 --> 00:18:17,960 Y ahora me dice, vale, tú le puedes decir que capture por registro o por origen. 267 00:18:18,500 --> 00:18:26,299 Si yo le digo por origen, yo aquí le puedo decir en este caso, dependiendo del tipo de aplicación, dependiendo del tipo de servicio, 15.000 cosas, ¿vale? 268 00:18:26,680 --> 00:18:27,779 Pero vamos a hacerlo fácil. 269 00:18:27,779 --> 00:18:38,740 Me voy por registro y aquí por registro vamos a seleccionar en este caso, pues digo, mira, quiero que me muestre los errores de estos cuatro, ¿de acuerdo? 270 00:18:38,740 --> 00:18:58,119 ¿De acuerdo? Entonces, los errores que ocurran dentro del registro correspondiente a aplicación, seguridad, instalación o sistema, quiero en este caso que me aparezcan aquí. ¿Sí? Le voy a dar en este caso a aceptar y le damos a aceptar. ¿De acuerdo? 271 00:18:58,119 --> 00:19:15,420 Entonces, repito, le hemos puesto un nombre, hemos seleccionado recopilador, perdón, iniciada por el recopilador, en seleccionar equipos hemos puesto el nombre del equipo que queremos recopilar, el PC01, y en seleccionar eventos hemos dicho qué eventos queremos capturar, ¿vale? 272 00:19:15,420 --> 00:19:35,940 Y una vez esto, le damos a aceptar. Y ya tendremos aquí el recopilador de eventos. Si queréis comprobar si la conectividad está bien, si yo lo selecciono y le digo botón derecho, aquí lo puedo eliminar, lo puedo deshabilitar o puedo ver el estado en el que se encuentra. 273 00:19:35,940 --> 00:19:54,700 Si yo pincho estado en tiempo de ejecución, si todo ha ido bien, os tiene que aparecer esta V, diciendo que está activo, ¿de acuerdo? Y que todo está activado correctamente. Si os sale algún tipo de error, vuelvo a repetir, comprobar lo que hemos configurado en el cliente, por favor, ¿de acuerdo? 274 00:19:54,700 --> 00:20:09,480 Entonces, ¿qué es lo que tengo que hacer ahora? Pues, por ejemplo, vamos a crear un evento a pelo dentro del cliente, ¿de acuerdo? Eso sí, que sepáis que esto suele tardar en torno a unos 10-15 minutos, ¿de acuerdo? 275 00:20:09,480 --> 00:20:16,099 Entonces vais a ver que yo voy a parar el vídeo porque no vamos a estar aquí 15 minutos tocando las narices. 276 00:20:17,380 --> 00:20:34,700 Entonces voy a copiar lo que me interesa, nos vamos a ir al cliente y en el cliente, ya que tengo abierto todavía el PowerShell, vamos a ejecutar este comando. 277 00:20:34,700 --> 00:20:39,680 ¿Vale? Hay un comando que me permite 278 00:20:39,680 --> 00:20:40,960 Generar un evento yo a pelo 279 00:20:40,960 --> 00:20:43,279 ¿Vale? Para no estar esperando que 280 00:20:43,279 --> 00:20:45,539 Un error, entonces hay un comando que se llama 281 00:20:45,539 --> 00:20:46,420 EvenCredit 282 00:20:46,420 --> 00:20:48,779 Voy a poner más grande 283 00:20:48,779 --> 00:20:54,250 Que yo le pongo el identificador 284 00:20:54,250 --> 00:20:55,990 Que quiero que tenga ese evento 285 00:20:55,990 --> 00:20:58,130 Le digo que tipo de error 286 00:20:58,130 --> 00:20:59,849 De, perdón, de evento voy a crear 287 00:20:59,849 --> 00:21:01,609 De tipo error y dentro 288 00:21:01,609 --> 00:21:03,470 De que sección 289 00:21:03,470 --> 00:21:05,210 Con lo correspondiente a aplicación 290 00:21:05,210 --> 00:21:08,009 Y aquí le pongo el mensaje que quiero que me salga 291 00:21:08,009 --> 00:21:11,609 error grande 292 00:21:11,609 --> 00:21:14,029 que estoy haciendo un vídeo 293 00:21:14,029 --> 00:21:16,150 entonces si yo le doy 294 00:21:16,150 --> 00:21:17,990 fijaros que se ha creado correctamente 295 00:21:17,990 --> 00:21:19,130 voy a crear un par de ellos 296 00:21:19,130 --> 00:21:22,690 entonces me ha tenido que crear cuatro eventos 297 00:21:22,690 --> 00:21:23,410 ¿cómo veo esto? 298 00:21:23,529 --> 00:21:25,230 si yo me voy aquí al visor de eventos 299 00:21:25,230 --> 00:21:35,880 me voy a registro de Windows 300 00:21:35,880 --> 00:21:37,440 y me voy a aplicación 301 00:21:37,440 --> 00:21:40,779 pues quiero que veáis lo que me va a aparecer 302 00:21:40,779 --> 00:21:56,289 quiero que veáis que aquí me aparecen los errores 303 00:21:56,289 --> 00:21:58,069 los cuatro que yo he generado 304 00:21:58,069 --> 00:22:00,069 le he dicho que son de tipo error 305 00:22:00,069 --> 00:22:01,869 que me aparecen de aplicación 306 00:22:01,869 --> 00:22:04,109 ¿de acuerdo? entonces ¿por qué he hecho esto? 307 00:22:04,190 --> 00:22:05,910 porque así no tengo que estar esperando ni estar 308 00:22:05,910 --> 00:22:07,329 generando absolutamente nada 309 00:22:07,329 --> 00:22:09,769 entonces ¿qué es lo que tendría que pasar? 310 00:22:10,410 --> 00:22:11,890 pues si yo ahora me voy al servidor 311 00:22:11,890 --> 00:22:13,450 me voy aquí al servidor 312 00:22:13,450 --> 00:22:16,250 me voy a registro de Windows 313 00:22:16,250 --> 00:22:17,769 y eventos reenviados 314 00:22:17,769 --> 00:22:18,829 aquí 315 00:22:18,829 --> 00:22:22,049 es donde me tendría que aparecer ¿de acuerdo? 316 00:22:22,210 --> 00:22:23,970 repito, por defecto 317 00:22:23,970 --> 00:22:26,130 me va a aparecer dentro del registro de Windows 318 00:22:26,130 --> 00:22:32,309 eventos reenviados y aquí es donde me tendría que aparecer los errores que se han generado en 319 00:22:32,309 --> 00:22:37,349 el cliente entonces aquí donde me vais a ver que voy a parar el vídeo porque vamos a esperar unos 320 00:22:37,349 --> 00:22:42,789 10-15 minutos y le voy a dar aquí a actualizar para que veáis que aquí me tienen que aparecer 321 00:22:42,789 --> 00:22:52,930 de acuerdo entonces voy a parar eso el vídeo unos 10-15 minutos y ahora volvemos me han pasado más 322 00:22:52,930 --> 00:23:04,630 Más o menos unos 10-15 minutos y fijaros que he refrescado y fijaros que aquí ya me aparecen los errores que son del servidor. 323 00:23:04,630 --> 00:23:18,819 Fijaros que, lo mostramos por aquí, me dicen que el equipo en el que se ha generado ha sido el PC01, correspondiente al registro de aplicación, 324 00:23:18,819 --> 00:23:20,920 que el ID es el 999 325 00:23:20,920 --> 00:23:22,160 ¿de acuerdo? 326 00:23:23,559 --> 00:23:25,400 y la hora en el que se ha generado 327 00:23:25,400 --> 00:23:27,460 ¿de acuerdo? y el tipo de quien ha generado el evento 328 00:23:27,460 --> 00:23:29,539 y luego me aparece por la descripción 329 00:23:29,539 --> 00:23:30,460 que nosotros le hemos puesto 330 00:23:30,460 --> 00:23:32,920 entonces ¿qué consigo con esto? 331 00:23:33,059 --> 00:23:34,859 imaginaos que yo tengo 7 o 8 ordenadores 332 00:23:34,859 --> 00:23:36,920 yo puedo unificar aquí 333 00:23:36,920 --> 00:23:39,019 en este caso mediante suscripciones 334 00:23:39,019 --> 00:23:41,119 pues todos los eventos que quiero que se registren 335 00:23:41,119 --> 00:23:42,539 y no tengo que ir de uno a uno 336 00:23:42,539 --> 00:23:45,079 en este caso controlando los eventos 337 00:23:45,079 --> 00:23:47,420 ¿de acuerdo? pues ya que estamos 338 00:23:47,420 --> 00:23:55,880 Voy a coger aquí en suscripciones, voy a borrarlo, botón derecho, lo eliminamos y ahora vamos a hacer otro simplemente para que lo veáis. 339 00:23:56,619 --> 00:24:08,240 Dentro de este Windows voy a hacer una cosa, voy a cerrar, cierro la sesión y voy a entrar con el administrador del dominio. 340 00:24:12,920 --> 00:24:32,970 Entonces le doy a otro usuario y nos introducimos como el administrador del dominio. 341 00:24:34,509 --> 00:24:41,410 Esto se queda reflejado como un evento, diciendo que se ha iniciado sesión y me pone quién ha iniciado sesión. 342 00:24:41,630 --> 00:24:45,069 Entonces, lo que quiero que veáis es qué identificador de evento hay. 343 00:24:45,690 --> 00:24:52,750 ¿Por qué? Porque vamos a hacer una suscripción para decirle que los eventos de inicio de sesión se me queden registrados, 344 00:24:52,750 --> 00:24:56,730 para que yo así sepa quién ha iniciado sesión en este equipo. 345 00:24:57,509 --> 00:24:57,769 ¿De acuerdo? 346 00:24:57,769 --> 00:25:02,630 entonces ahora cuando arranque nos vamos a meter en el visor de eventos 347 00:25:02,630 --> 00:25:05,630 y vamos a ver cuál es el identificador de evento 348 00:25:05,630 --> 00:25:09,490 que corresponde a los inicios de sesión 349 00:25:09,490 --> 00:25:16,779 entonces me meto en el visor de eventos 350 00:25:16,779 --> 00:25:27,529 y quiero que veáis 351 00:25:27,529 --> 00:25:29,730 espera que lo pongo esto un poquito más grande 352 00:25:29,730 --> 00:25:33,970 vale, y aquí me voy a registro de Windows 353 00:25:33,970 --> 00:25:36,789 me voy al que me pone seguridad 354 00:25:36,789 --> 00:25:42,109 y quiero que veáis que aquí hay uno que tiene este identificador. 355 00:25:42,349 --> 00:25:45,849 ¿Veis que me pone aquí, se inició con una cuenta correcta? 356 00:25:46,490 --> 00:25:54,259 Os recuerdo que yo puedo filtrar, ¿de acuerdo? 357 00:25:55,259 --> 00:25:59,579 Entonces le voy a decir que quiero filtrar por este identificador, ¿de acuerdo? 358 00:25:59,640 --> 00:26:01,180 Porque no quiero ver todo lo que me aparece. 359 00:26:01,660 --> 00:26:04,180 Entonces vamos a crearlo, es 4624. 360 00:26:04,880 --> 00:26:06,819 Le doy a filtrar registro actual 361 00:26:06,819 --> 00:26:09,500 y aquí en el que me pone 362 00:26:09,500 --> 00:26:11,799 que puedo poner los identificadores de evento 363 00:26:11,799 --> 00:26:13,680 vamos a poner el 4624 364 00:26:13,680 --> 00:26:18,069 le doy a aceptar 365 00:26:18,069 --> 00:26:19,529 y ya tengo aquí 366 00:26:19,529 --> 00:26:21,269 entonces, ¿qué es lo que quiero que veáis? 367 00:26:22,210 --> 00:26:23,430 pues fijaros que aquí me pone 368 00:26:23,430 --> 00:26:25,630 que se ha iniciado sesión de una cuenta 369 00:26:25,630 --> 00:26:28,470 si yo sigo bajando por aquí 370 00:26:28,470 --> 00:26:31,289 este en este caso es de sistema 371 00:26:31,289 --> 00:26:33,170 si sigo bajando con la flechita 372 00:26:33,170 --> 00:26:34,970 le voy a dar aquí 373 00:26:34,970 --> 00:26:40,559 le voy a dar aquí 374 00:26:40,559 --> 00:26:41,660 y vamos bajando 375 00:26:41,660 --> 00:26:44,480 entonces aquí tengo un inicio 376 00:26:44,480 --> 00:26:47,160 sigo bajando, sigo bajando, sigo bajando 377 00:26:47,160 --> 00:26:48,839 sigo bajando, sigo bajando 378 00:26:48,839 --> 00:26:51,259 y fijaros que aquí hay uno 379 00:26:51,259 --> 00:26:56,099 que me dice que se ha iniciado sesión 380 00:26:56,099 --> 00:26:58,380 y en este caso con estas credenciales 381 00:26:58,380 --> 00:26:59,799 ¿me seguís? 382 00:27:00,980 --> 00:27:05,200 entonces yo simplemente con el 4624 veo todos los inicios de sesión 383 00:27:05,200 --> 00:27:09,960 pero lo mismo a mí me interesa solamente ver los inicios de sesión del administrador 384 00:27:09,960 --> 00:27:11,359 entonces vamos a empezar por el fácil 385 00:27:11,359 --> 00:27:16,619 Y luego modificamos para que solamente se me quede reflejado el de administrador 386 00:27:16,619 --> 00:27:17,180 ¿De acuerdo? 387 00:27:18,000 --> 00:27:19,960 Pero os recuerdo que cada vez que le doy aquí 388 00:27:19,960 --> 00:27:24,599 Lo que hace es, primero me muestra este, luego me muestra el siguiente 389 00:27:24,599 --> 00:27:27,119 Luego me muestra el siguiente, luego me muestra el siguiente 390 00:27:27,119 --> 00:27:28,019 Es decir, va bajando 391 00:27:28,019 --> 00:27:32,380 Entonces ahora mismito estoy en este de aquí 392 00:27:32,380 --> 00:27:34,980 ¿De acuerdo? Que es en el que está, no sé si lo veis un poquito gris 393 00:27:34,980 --> 00:27:35,920 ¿Sí? 394 00:27:36,700 --> 00:27:37,960 Entonces, ¿qué es lo que vamos a hacer? 395 00:27:37,960 --> 00:27:47,180 Le voy aquí a cerrar y sabiendo que el identificador que me interesa es el 4624, pues nos vamos a ir al servidor y vamos a crear una suscripción. 396 00:27:47,559 --> 00:27:55,859 Botón derecho en suscripciones, crear suscripción y le voy a poner inicio de sesión. 397 00:27:57,339 --> 00:28:10,630 Seleccionamos equipo, ponemos el PC01, agregar equipo del dominio, PC01, probamos que la conexión está correcta. 398 00:28:10,630 --> 00:28:12,529 Si antes no ha funcionado ahora también 399 00:28:12,529 --> 00:28:14,630 Y le damos a seleccionar eventos 400 00:28:14,630 --> 00:28:17,690 Y ahora aquí en seleccionar eventos 401 00:28:17,690 --> 00:28:21,289 Le vamos a decir que el evento que quiero 402 00:28:21,289 --> 00:28:22,630 Es 403 00:28:22,630 --> 00:28:25,190 Solamente de seguridad 404 00:28:25,190 --> 00:28:26,589 ¿Sí? 405 00:28:27,849 --> 00:28:29,849 Y le vamos a poner que solamente quiero 406 00:28:29,849 --> 00:28:30,650 El que hemos dicho 407 00:28:30,650 --> 00:28:32,269 El 4624 408 00:28:32,269 --> 00:28:34,730 4624 409 00:28:34,730 --> 00:28:35,890 ¿De acuerdo? 410 00:28:37,430 --> 00:28:38,650 Entonces no hace falta que le diga 411 00:28:38,650 --> 00:28:45,589 ni tipo error ni tipo información porque directamente me va a coger en este caso y 412 00:28:45,589 --> 00:28:52,289 me va a coger lo de seguridad cuyo identificador es 4624. Le damos a aceptar, le damos a aceptar 413 00:28:52,289 --> 00:28:57,349 y ya tenemos aquí en este caso nuestro sesión. Botón derecho, estado en tiempo de ejecución. 414 00:28:59,470 --> 00:29:07,849 Si nos sale este error vamos a intentar esperar un poquito a que se pueda comunicar. Vale, 415 00:29:07,849 --> 00:29:12,490 Me he ido al cliente y he detenido el servicio y lo he vuelto a arrancar, ¿vale? 416 00:29:12,569 --> 00:29:13,910 Pues no sé qué estaba pasando. 417 00:29:14,529 --> 00:29:19,730 De forma que le he dicho botón derecho, estado, y ya me pone que va todo bien, ¿de acuerdo? 418 00:29:20,210 --> 00:29:21,710 Entonces, ¿qué es lo que vamos a hacer ahora? 419 00:29:21,910 --> 00:29:23,150 Repito que es lo que teníamos, ¿eh? 420 00:29:23,869 --> 00:29:27,789 Aquí le hemos dicho que solamente quiero que me capture los eventos 46-24. 421 00:29:29,049 --> 00:29:30,930 Entonces, ¿qué es lo que voy a hacer ahora en el cliente? 422 00:29:30,930 --> 00:29:38,500 Me voy al cliente, voy a cerrar sesión y voy a entrar otra vez como administrador. 423 00:29:38,500 --> 00:29:54,059 De acuerdo 424 00:29:54,059 --> 00:29:58,140 Entonces esto me tiene que quedar reflejado 425 00:29:58,140 --> 00:30:00,859 Dentro del registro de Windows en el servidor 426 00:30:00,859 --> 00:30:03,240 Y eventos reenviados 427 00:30:03,240 --> 00:30:05,539 Entonces voy a borrar esto que tenemos 428 00:30:05,539 --> 00:30:07,220 Le voy a decir en eventos reenviados 429 00:30:07,220 --> 00:30:09,119 Botón derecho vaciar registro 430 00:30:09,119 --> 00:30:11,220 Le voy a decir a borrar 431 00:30:11,220 --> 00:30:12,900 Para que ahora 432 00:30:12,900 --> 00:30:14,380 Pasado 10-15 minutos 433 00:30:14,380 --> 00:30:16,720 Veamos que aquí me tienen que aparecer los eventos 434 00:30:16,720 --> 00:30:17,880 Que son 46 435 00:30:17,880 --> 00:30:20,420 No se que tenemos, 46-24 436 00:30:20,420 --> 00:30:21,319 De acuerdo 437 00:30:21,319 --> 00:30:25,519 voy a cerrar otra sesión 438 00:30:25,519 --> 00:30:26,839 simplemente para que haya un par de ellas 439 00:30:26,839 --> 00:30:27,839 cerrar sesión 440 00:30:27,839 --> 00:30:30,240 y vuelvo a entrar con el administrador 441 00:30:30,240 --> 00:30:33,980 pongo el administrador pero da igual 442 00:30:33,980 --> 00:30:36,440 voy a entrar con otro 443 00:30:36,440 --> 00:30:49,500 he entrado con el 444 00:30:49,500 --> 00:30:50,140 hay tortilla 445 00:30:50,140 --> 00:30:53,779 entonces ahora voy a parar el vídeo 446 00:30:53,779 --> 00:30:55,259 y dentro de 15 minutos 447 00:30:55,259 --> 00:30:57,380 aproximadamente 448 00:30:57,380 --> 00:30:59,660 pues vamos a ver que es lo que me aparece aquí 449 00:30:59,660 --> 00:31:00,079 ¿de acuerdo? 450 00:31:02,940 --> 00:31:04,400 Pues venga, ahora seguimos. 451 00:31:06,730 --> 00:31:08,730 Vale, ya se ha actualizado, ¿de acuerdo? 452 00:31:08,869 --> 00:31:13,710 Y quiero que veáis que me aparece aquí, en este caso, toda la información. 453 00:31:15,710 --> 00:31:28,730 Si voy pinchando en cada una de ellas y vamos mostrando la información, pues vamos viendo, en este caso, todos aquellos cuyo identificador es el 4624, ¿de acuerdo? 454 00:31:29,410 --> 00:31:32,529 Pero aquí tengo un problema, aquí me aparecen todos los inicios de sesión. 455 00:31:32,529 --> 00:31:37,009 Da igual que sean, en este caso, usuarios específicos, usuarios del sistema, etc, etc. 456 00:31:37,630 --> 00:31:41,150 Entonces, si yo voy bajando para abajo, ¿de acuerdo? 457 00:31:41,309 --> 00:31:42,849 Porque todo es el 4.6. 458 00:31:44,089 --> 00:31:53,950 Voy bajando para abajo y vuelvo a repetir que todo es el identificador 4624, es decir, lo está haciendo bien. 459 00:31:54,450 --> 00:31:56,549 Todos son, en este caso, logon. 460 00:31:57,769 --> 00:32:00,369 Pero yo tendré que ir bajando por aquí abajo. 461 00:32:00,369 --> 00:32:02,750 Vais bajando 462 00:32:02,750 --> 00:32:05,849 The system, voy bajando, voy bajando 463 00:32:05,849 --> 00:32:06,630 Voy bajando 464 00:32:06,630 --> 00:32:09,849 Y aquí tengo en este caso 465 00:32:09,849 --> 00:32:10,789 A la itortilla 466 00:32:10,789 --> 00:32:13,230 Entonces yo veo que la itortilla 467 00:32:13,230 --> 00:32:14,170 En este caso 468 00:32:14,170 --> 00:32:17,309 Con el identificador correspondiente 469 00:32:17,309 --> 00:32:19,250 A las, el día 13 470 00:32:19,250 --> 00:32:20,089 A las 471 00:32:20,089 --> 00:32:23,730 A las 12 y 2 y 36 segundos 472 00:32:23,730 --> 00:32:24,509 Ha iniciado sesión 473 00:32:24,509 --> 00:32:26,109 Y si yo sigo bajando 474 00:32:26,109 --> 00:32:29,009 Pues voy viendo aquí los diferentes, en este caso 475 00:32:29,009 --> 00:32:31,309 elementos, pero a mí me interesa este 476 00:32:31,309 --> 00:32:33,509 es decir, yo solamente 477 00:32:33,509 --> 00:32:35,630 quiero saber cuándo el administrador ha iniciado 478 00:32:35,630 --> 00:32:37,730 sesión, yo no quiero todo lo demás 479 00:32:37,730 --> 00:32:39,450 para mí lo demás es paja 480 00:32:39,450 --> 00:32:41,490 yo solamente quiero saber cuándo un administrador 481 00:32:41,490 --> 00:32:43,049 ha iniciado sesión en ese equipo 482 00:32:43,049 --> 00:32:45,430 ¿de acuerdo? entonces yo solamente 483 00:32:45,430 --> 00:32:47,690 quiero suscribirme o suscribir 484 00:32:47,690 --> 00:32:48,769 ese tipo de eventos 485 00:32:48,769 --> 00:32:51,470 entonces fijaros lo que voy a hacer, no sé si veis 486 00:32:51,470 --> 00:32:51,950 aquí abajo 487 00:32:51,950 --> 00:32:55,589 que me aparece aquí el botón de copiar 488 00:32:55,589 --> 00:32:57,390 ¿de acuerdo? 489 00:32:57,549 --> 00:32:58,690 pues vamos a darle a copiar 490 00:32:58,690 --> 00:33:02,559 Voy a abrir un blog de notas 491 00:33:02,559 --> 00:33:09,910 Y lo voy a pegar aquí 492 00:33:09,910 --> 00:33:12,910 Porque quiero que veáis una cosita 493 00:33:12,910 --> 00:33:17,160 ¿Vale? 494 00:33:17,240 --> 00:33:19,579 Todo esto es lo que me ha devuelto en este caso ese evento 495 00:33:19,579 --> 00:33:21,859 Entonces, ¿qué es lo que me interesa a mí ver? 496 00:33:22,299 --> 00:33:24,039 Si estoy bajando por aquí abajo 497 00:33:24,039 --> 00:33:25,759 Quiero que veáis esto 498 00:33:25,759 --> 00:33:26,980 Me dice, mira 499 00:33:26,980 --> 00:33:30,339 Tengo aquí de tipo System 500 00:33:30,339 --> 00:33:31,859 ¿Vale? 501 00:33:31,859 --> 00:33:35,400 Me dicen que el Event ID es 4624 502 00:33:35,400 --> 00:33:39,900 me pone aquí diferentes elementos, es decir, todo esto 503 00:33:39,900 --> 00:33:43,880 es de System, ¿de acuerdo? Diciendo que es de tipo Security 504 00:33:43,880 --> 00:33:47,480 que lo tengo 505 00:33:47,480 --> 00:33:51,920 no sé por dónde, ¿de acuerdo? Y me dice 506 00:33:51,920 --> 00:33:55,960 que el evento ID es este de aquí. Y luego, aquí abajo, en el que me pone 507 00:33:55,960 --> 00:33:59,180 EventData, que empieza aquí y termina aquí 508 00:33:59,180 --> 00:34:03,799 me pone un montonazo de información. Por ejemplo, me pone que 509 00:34:03,799 --> 00:34:11,960 el atributo que se llama subjectUserId es este de aquí, que me pone que el subjectUserName es este de aquí. 510 00:34:12,800 --> 00:34:16,840 Entonces, ¿cuál me interesa a mí? Pues me interesaría, por ejemplo, este de aquí, para decirle, 511 00:34:16,840 --> 00:34:23,639 oye, quiero que solamente me muestres aquellos cuyo nombre, en este caso de destino, es el administrador, 512 00:34:23,780 --> 00:34:28,539 para que solamente me quede reflejado ese. Entonces, por eso os he enseñado el copy-pega, 513 00:34:28,719 --> 00:34:33,139 porque vamos a modificar la consulta que tenemos, por decirlo de alguna manera, 514 00:34:33,139 --> 00:34:35,519 para decirle que se cumpla esto, ¿de acuerdo? 515 00:34:36,280 --> 00:34:40,980 Entonces voy a cerrar esto y vamos a hacerlo. 516 00:34:41,659 --> 00:34:49,079 Voy a borrar enviadores, vaciar el registro, voy a borrar, me voy a suscripciones y vamos a hacer una suscripción. 517 00:34:49,159 --> 00:34:50,539 Bueno, vamos a modificar esta, ¿qué narices? 518 00:34:50,840 --> 00:34:57,739 Botón derecho, vamos a propiedades, seleccionamos el que me pone seleccionar eventos 519 00:34:57,739 --> 00:35:14,849 Y ahora quiero que veáis aquí que el que yo tengo es un filtro básico, es decir, todo esto que estamos haciendo es un filtro básico. 520 00:35:15,750 --> 00:35:33,550 Todo esto se traduce a que yo puedo coger y pinchar aquí en el que se llama XML, porque al fin y al cabo esta consulta que estamos haciendo aquí, este filtro, se traduce en este caso en un formato XML. 521 00:35:33,550 --> 00:35:53,449 Entonces voy a pinchar en la columna que pone en la pestaña que pone XML y quiero que veáis que esto que me pone aquí es la consulta actual, que me dice que es correspondiente al security y me dice que me vas a seleccionar de security aquello cuyo evento es este de aquí, ¿vale? 522 00:35:53,449 --> 00:36:11,829 Pero yo esto no lo puedo modificar, ¿vale? Para modificarlo tengo que seleccionar aquí abajo el que me pone editar consulta, ¿vale? Cuidado porque si modificáis esta consulta desde aquí, luego ya no vais a poder pinchar en la pestaña filtro, ¿de acuerdo? Porque filtro son consultas básicas, ¿de acuerdo? 523 00:36:11,829 --> 00:36:17,230 Pero en este XML yo puedo hacer lo que me dé la real gana. 524 00:36:17,650 --> 00:36:19,010 Entonces, ¿qué es lo que vamos a hacer nosotros? 525 00:36:19,409 --> 00:36:20,250 Vamos a editarla. 526 00:36:20,730 --> 00:36:21,530 Selecciono editar. 527 00:36:21,989 --> 00:36:28,150 Me dice, oye, si elige editar la consulta, ya no podrá modificarla usando los controles de la pestaña filtro. 528 00:36:28,250 --> 00:36:29,030 Lo que os he dicho antes. 529 00:36:29,210 --> 00:36:29,690 ¿Desea continuar? 530 00:36:29,989 --> 00:36:30,289 Sí. 531 00:36:30,989 --> 00:36:31,389 ¿De acuerdo? 532 00:36:31,889 --> 00:36:34,849 Y ahora vamos a poner aquí la consulta que queremos nosotros. 533 00:36:34,969 --> 00:36:40,909 Como no tengo ganas de escribir, la voy a quitar y la voy a pegar. 534 00:36:40,909 --> 00:36:43,550 Entonces, ¿qué es lo que ha cambiado con respecto a lo anterior? 535 00:36:44,469 --> 00:36:50,469 Todo esto es igual, todo esto es igual, pero lo que hemos añadido nosotros es esto de aquí 536 00:36:50,469 --> 00:36:53,289 ¿Vale? Entonces, ¿qué es lo que le hemos dicho? 537 00:36:53,289 --> 00:37:00,630 Le hemos dicho, oye, quiero que me cojas cuyo identificador es el 4624 538 00:37:00,630 --> 00:37:05,650 Y que además, quiero que me cojas de event data 539 00:37:05,650 --> 00:37:10,630 me cojas el dato que corresponde al nombre 540 00:37:10,630 --> 00:37:15,909 y que además el contenido, el data, sea administrador 541 00:37:15,909 --> 00:37:17,409 ¿de acuerdo? 542 00:37:17,869 --> 00:37:21,369 he cerrado el programa para que viéseis 543 00:37:21,369 --> 00:37:26,230 entonces aquí le estoy diciendo que no solamente quiero que sea el identificador 4624 544 00:37:26,230 --> 00:37:28,050 que es el correspondiente a logon 545 00:37:28,050 --> 00:37:33,989 sino que además y quiero que lo que es correspondiente a los datos del evento 546 00:37:33,989 --> 00:37:39,989 lo que corresponde, por decirlo así, a la propiedad target username, ¿de acuerdo? 547 00:37:40,070 --> 00:37:47,130 Es decir, que sea la propiedad target username y que además el contenido de esa propiedad sea administrador, ¿de acuerdo? 548 00:37:47,650 --> 00:37:53,329 Entonces le damos a aceptar, le damos a aceptar y ya tenemos aquí la consulta, ¿de acuerdo? 549 00:37:54,849 --> 00:38:02,750 Comprobamos que la conexión es correcta y ahora si yo me voy aquí al cliente, me voy a salir de este usuario. 550 00:38:05,880 --> 00:38:12,159 Cierro sesión y me voy a meter como el administrador, me meto un par de veces, cierro la sesión y me voy a meter como el administrador. 551 00:38:26,469 --> 00:38:39,269 Entonces cuando pasen ya, y con esto ya terminamos el vídeo que se me está alargando mucho, cuando pasen otros 15 minutos, solamente me tiene que quedar reflejado en la suscripción aquellos inicios de sesión del usuario administrador. 552 00:38:39,429 --> 00:38:42,610 Voy a cerrar sesión y voy a volver a entrar, ¿de acuerdo? 553 00:38:42,610 --> 00:38:52,820 entonces ahora voy a dejar pasar como siempre 554 00:38:52,820 --> 00:38:54,679 me voy aquí a eventos a reenviados 555 00:38:54,679 --> 00:38:57,340 y voy a darle de vez en cuando a actualizar 556 00:38:57,340 --> 00:39:00,239 y cuando me actualice y me ponga aquí los datos 557 00:39:00,239 --> 00:39:02,360 pues vemos si efectivamente me ha funcionado 558 00:39:02,360 --> 00:39:05,340 en torno a unos 15 minutos, ahora nos vemos 559 00:39:05,340 --> 00:39:09,639 vale, ya se ha actualizado 560 00:39:09,639 --> 00:39:13,440 entonces quiero que veáis que ahora solamente me aparecen 561 00:39:13,440 --> 00:39:18,900 el 4624 pero correspondiente al administrador 562 00:39:18,900 --> 00:39:29,699 Si abrimos cada uno de ellos, fijaros que este es el inicio de sesión del administrador, inicio de sesión del administrador, inicio de sesión del administrador, ¿de acuerdo? 563 00:39:30,800 --> 00:39:36,219 Entonces, así yo puedo filtrar en este caso por lo que a mí me dé la gana, ¿de acuerdo? 564 00:39:36,920 --> 00:39:43,420 Entonces, simplemente para que veáis que es esto de las suscripciones de eventos y que se quedan reflejados por defecto en eventos enviados. 565 00:39:44,360 --> 00:39:45,559 Pues venga, un saludo.