Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Suscripciones de eventos - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 26 de junio de 2023 por Fernando Jesús H.

45 visualizaciones

Más información Transcripción

Descargar la transcripción

buenas vamos a hacer lo que son la suscripción de eventos vale entonces vamos a ver cuál es el 00:00:00
laboratorio de que disponemos vamos a partir de este windows server 2022 de acuerdo en el 00:00:07
que vamos a hacer que desde aquí sea el recolector de eventos de otro equipo que es el que va a 00:00:14
generar los eventos de acuerdo entonces este servidor quiero que veáis que se llama servidor 00:00:23
de 01, ¿de acuerdo? Entonces 00:00:28
quiero que veáis aquí que este es el nombre porque lo vamos a 00:00:32
necesitar ahora para hacer y configurar en este caso, por decirlo de alguna 00:00:36
manera, el cliente. Y ahora en el otro equipo 00:00:40
que este es el que queremos que todos los eventos que genere o aquellos 00:00:44
que nosotros digamos se envíen en este caso a este servidor 00:00:48
servidor 01, ¿de acuerdo? Entonces dentro de este servidor 00:00:52
vamos a tener que hacer varias cosas 00:00:57
la primera, si nos vamos a herramientas 00:00:59
y nos vamos en este caso al visor de eventos 00:01:03
que lo tengo por aquí, visor de eventos, el que tengo seleccionado ahora 00:01:06
lo vamos a abrir 00:01:10
este lo voy a minimizar 00:01:16
y quiero que veáis que lo que queremos hacer es aquí el que pone suscripciones 00:01:25
cuando yo pincho en el que me pone suscripciones 00:01:30
me aparece este mensaje 00:01:33
Y este mensaje me está diciendo que para que esta suscripción funcione, necesito que haya un servicio, en este caso, que esté ejecutándose. 00:01:36
Y ese servicio es el que se llama recopilador de eventos. 00:01:45
Voy a abrir en un momento, en este caso, los servicios. 00:01:48
Me voy a herramientas. 00:01:51
Vamos a ir aquí a servicios. 00:01:53
Y si buscamos aquí el recopilador de eventos, lo tenemos aquí, no sé si lo veis, que en este caso está puesto que este servicio no está ejecutándose y que el tipo de inicio que te ha puesto es manual. 00:01:54
¿De acuerdo? Entonces, este que tenemos aquí. ¿Qué es lo que me está diciendo? Pues que para que eso me funcione, este servicio se tiene que estar funcionando. ¿De acuerdo? 00:02:16
Entonces, si nos damos aquí al visor, le decimos que sí. ¿De acuerdo? Ya tengo preparado esto. Si ahora yo me voy aquí al servicio y refrescamos esto, pues veis que está en ejecución y que me ha puesto ahora en automático inicio retrasado. 00:02:28
¿De acuerdo? Entonces es un servicio que tengo que tener activado. 00:02:46
Ahora, ¿qué es lo que tenemos que hacer en el cliente? 00:02:51
Nos vamos al Windows 10, ¿de acuerdo? 00:02:55
Estamos ahora en el Windows 10. 00:02:58
He entrado con un usuario administrador local. 00:02:59
En este caso he entrado con el usuario que se llama usuario, valga la redundancia. 00:03:02
Y este usuario, en este caso, es un usuario local administrador. 00:03:07
¿De acuerdo? 00:03:11
¿Y qué es lo que vamos a hacer? 00:03:12
Vamos a abrir un PowerShell, botón derecho. 00:03:14
Windows PowerShell y lo vamos a abrir como administrador y aquí lo que tenemos que hacer es activar en este caso el WinRM para que se pueda gestionar remotamente todo lo que es correspondiente al equipo. 00:03:16
¿Qué quiere decir esto de WinRM? 00:03:31
Si aquí vamos a servicios, voy a abrir aquí servicios 00:03:35
Hay un servicio que es el que voy a mostrar ahora 00:03:38
El que estoy seleccionando ahora, el que se llama Administración Remota de Windows 00:03:49
Este servicio quiero que veáis 00:03:55
Que me dice Servicio de Administración Remota de Windows, Implementa Protocolo, bla bla bla 00:03:57
Y este servicio es el que necesito que esté funcionando 00:04:02
Para que esa comunicación entre este ordenador y el servidor 00:04:05
Y el servidor de esta comunicación sea viable 00:04:08
fijaros que está puesto como manual y no se está ejecutando de acuerdo entonces 00:04:09
tenemos que configurar este servicio es decir lo tenemos que ejecutar y no 00:04:13
solamente eso sino que para que haya un tráfico y que el firewall de este 00:04:18
ordenador no impida que lo que venga del servidor lo bloquee tenemos que habilitar 00:04:26
una regla en el firewall para que esta comunicación sea posible de acuerdo 00:04:33
Entonces, vamos a abrir el Firewall 00:04:37
Me voy aquí a comprobar el estado del Firewall 00:04:40
Tenemos todo activo, me voy a configuración avanzada 00:04:45
¿De acuerdo? Entramos en configuración avanzada 00:04:49
Y me voy a las reglas de entrada 00:04:54
Entonces, quiero que veáis 00:05:01
Que aquí, para que esto me funcione correctamente 00:05:03
Y no me esté bloqueando las conexiones entrantes 00:05:07
Hay un servicio que necesito 00:05:10
al perder un servicio, una regla que tengo que estar habilitada 00:05:12
esta regla es esta de aquí, que me pone 00:05:15
administración remota de Windows, HTTP de entrada 00:05:18
fijaros que aquí yo lo voy a habilitar porque 00:05:21
este laboratorio lo estoy haciendo con un dominio 00:05:24
fijaros que aquí en el servidor 00:05:27
os recuerdo que aquí en el servidor tenemos un dominio que se llama 00:05:29
canaveral.local y este es un equipo que está unido al dominio 00:05:33
¿de acuerdo? entonces dentro del cliente 00:05:36
estoy otra vez dentro del Windows 10, aquí no me interesa el del público, me interesa este, ¿de acuerdo? 00:05:39
El que se llama Administración Remota de Windows y el que es, en este caso, el perfil de dominio privado, ¿de acuerdo? 00:05:45
¿Por qué os digo esto? Porque ahora voy a minimizar esto y quiero que, os he dicho que abráis el PowerShell en modo Administración 00:05:52
porque esto que os digo que tenemos que hacer, hay un comando que ya lo hace. 00:06:03
Entonces vamos a ejecutar 00:06:06
¿Qué comando vamos a ejecutar? 00:06:09
Pues vamos a ejecutar este comando 00:06:10
WinRM 00:06:12
Y el QC 00:06:16
Esto es de Quick Config 00:06:20
Configuración rápida 00:06:22
Entonces le decimos WinRM 00:06:24
Le doy y me dice 00:06:27
Oye, Windows no está configurado para recibir solicitudes en este equipo 00:06:29
Se deben realizar los siguientes cambios 00:06:33
Inicie el servicio de WinRM 00:06:35
el que os he dicho que es este de aquí 00:06:37
¿de acuerdo? eso es lo que va a hacer 00:06:40
y me dice, oye, establezca el tipo de servicio como inicio automático aplazado 00:06:42
¿desea realizar estos cambios? pues obviamente le decimos que yes 00:06:46
le damos al enter 00:06:49
me dice que se ha actualizado 00:06:53
y ahora me dice, se cambió el tipo de servicio correctamente 00:06:54
y ahora me dice, Windows no está configurado para permitir acceso remoto al equipo para administración 00:06:57
es decir, que ahí el firewall me está bloqueando 00:07:02
me dice, se deben realizar los siguientes cambios 00:07:05
habilitar la sección del Firewall WinRM 00:07:07
quieres habilitarla, es decir 00:07:09
quieres realizar estos cambios, le decimos que yes 00:07:11
y me dice 00:07:13
que ya lo tengo habilitado 00:07:16
vamos a ver que narices ha hecho esto, si yo me voy 00:07:17
a servicios, refrescamos 00:07:20
y quiero que veáis que ahora 00:07:22
me dice que está en ejecución 00:07:24
y me lo ha puesto como inicio 00:07:26
retrasado 00:07:28
vale 00:07:29
entonces esto es lo primero que nos ha hecho 00:07:32
¿cuál es lo segundo que nos ha hecho? habilitar una 00:07:34
regla dentro del Firewall 00:07:36
¿Qué regla nos has hecho habilitar en el Firewall? 00:07:37
Pues vamos a verlo 00:07:40
Nos vamos aquí al Firewall 00:07:41
Voy a refrescar esto 00:07:42
Y si bajamos para abajo, quiero que veáis que ha pasado 00:07:45
¿Veis que me aparece aquí la V ya? 00:07:48
¿Vale? 00:07:50
Pues quiere decir que esta es la que nos ha habilitado 00:07:53
¿A nivel de qué? De dominio privado 00:07:56
¿Por qué? Porque resulta que el perfil que tenemos activado actualmente es de dominio 00:07:58
Porque este equipo está unido al dominio 00:08:01
¿De acuerdo? Entonces que sepáis que es lo que hace ese comando 00:08:03
Simplemente, ¿de acuerdo? 00:08:07
¿Vale? Más cosas. Esto es por un lado. Segundo, tenemos que, en este caso, meter dentro de un grupo específico, ¿vale? En este caso, al equipo servidor, es decir, a este equipo, al servidor 01. 00:08:08
¿En qué grupo lo tenemos que meter? Lo hago en modo gráfico y luego lo hago en modo comando para que lo veáis. Nos vamos a ir a botón derecho en este equipo, administrar, y nos vamos a ir en este caso a usuarios y grupos y nos vamos a ir a grupos. 00:08:25
y quiero que veáis que aquí hay un grupo que es el que ahora nos interesa 00:08:41
que es el que se llama lectores de registro de eventos 00:08:46
yo lo voy a hacer desde aquí y luego lo hacemos en modo comando 00:08:52
yo le voy a decir botón derecho, me voy a propiedades 00:08:56
y ahora veis que aquí no tengo ningún grupo 00:08:59
¿a quién tengo que meter aquí? 00:09:03
tengo que meter en primer lugar al equipo 00:09:05
que el que quiero que sea el recolector de eventos 00:09:11
es decir, tengo que meter a este ordenador 00:09:14
al servidor 01 00:09:16
entonces, repito, lo hago en modo gráfico 00:09:17
y luego lo hago en modo comando 00:09:20
botón derecho, propiedades 00:09:21
le doy al botón de agregar 00:09:23
¿vale? y ahora fijaros 00:09:25
que me va a buscar dentro del cañaveral 00:09:28
¿qué es lo que me va a buscar? 00:09:30
usuarios, cuentas de servicios 00:09:32
o grupos, yo no quiero eso, yo quiero que me busque 00:09:34
equipos, así que pincho en tipo de objeto 00:09:35
¿de acuerdo? 00:09:38
Porque sí que quiero que me busquen el escáner verano, pero yo quiero que me busque tipos de objetos. En concreto, quiero que me busque equipos. 00:09:41
Entonces metemos las credenciales de un usuario administrador del dominio, en este caso el administrador, y le voy a decir que lo que quiero que me busque son los equipos. 00:09:51
Le digo aceptar, le doy a opciones avanzadas, buscar ahora y fijaros que me aparecen los dos. ¿Cuál voy a meter aquí? Pues el que os he dicho. 00:10:08
el que va a ser el recolector, el que me va a coger los eventos que este ordenador genere. 00:10:18
Entonces le damos a aceptar y le damos a aceptar. 00:10:24
Este sería el primero que tengo que meter, porque para que en este caso decirle que el servidor va a poder leer los registros de este equipo. 00:10:27
Y lo segundo que tengo que añadir dentro de aquí, de los lectores, es en este caso el grupo, un grupo especial de sistema que se llama servicio de red. 00:10:39
entonces le damos a agregar 00:10:47
y en este caso no quiero 00:10:49
que me busque en el canaveral.local 00:10:52
quiero que me busque en este equipo 00:10:54
así que nos vamos a ubicaciones 00:10:56
volvemos a meter las credenciales 00:10:58
de un administrador 00:11:01
uy que lo he metido mal, un segundo 00:11:01
y le voy a decir que 00:11:11
quiero buscar en el pc01 00:11:21
no en el dominio, quiero que me busque en este equipo 00:11:23
de acuerdo 00:11:25
le doy a aceptar 00:11:26
y le digo que lo que quiero que me busque 00:11:28
No quiero que me busque usuarios. Le voy a decir otros objetos y entidades de seguridad. Le doy a aceptar. Le doy a opciones avanzadas y buscar ahora. ¿Cuál me interesa aquí? Pues hay un grupo que es el que se llama servicios de red. Este de aquí. 00:11:31
¿De acuerdo? Entonces le doy a aceptar y le doy a aceptar 00:11:49
Estos son los dos miembros que tenéis que meter en los lectores de registro 00:11:53
Para que en este caso, cuando dentro del 2000 server 00:11:57
Nosotros le digamos que queremos hacer una suscripción 00:12:02
Podamos en este caso leer del cliente todos los registros 00:12:05
Y llevarlos en este caso al servidor 00:12:10
¿De acuerdo? Esto lo haría yo en modo gráfico 00:12:11
Pero imaginaros que lo quiero hacer en modo comando 00:12:16
Le voy a dar aquí un momento a aplicar y aceptar 00:12:18
Y me voy a ir a PowerShell 00:12:22
Yo no sé si os acordáis de este comando 00:12:24
Este que voy a ponernos, obviamente 00:12:26
El GetLocalGroup 00:12:29
Si le doy, aquí nos salen todos los grupos que tengo 00:12:45
Y aquí me salen los lectores de registro de eventos 00:12:49
No sé si también os acordáis cómo podemos ver los miembros de un grupo 00:12:52
Yo puedo utilizar el comando que se llama GetLocalGroupMember 00:12:57
Vamos a probarlo 00:13:01
Y le voy a decir al grupo 00:13:02
Lectores de registro de eventos 00:13:11
Y me dicen los dos que tenemos 00:13:14
¿De acuerdo? 00:13:19
Pues vamos a hacerlo desde aquí 00:13:21
Voy a deshacer lo que he hecho 00:13:22
Me voy a ir a, en modo gráfico 00:13:24
Lectores de registro de eventos 00:13:27
Y vamos a quitar los dos 00:13:28
Quito este, aplico y acepto 00:13:29
Ya no he hecho nada, ¿de acuerdo? 00:13:32
Es decir, yo ahora mismo lo tengo vacío 00:13:33
¿Cómo lo podemos añadir? 00:13:36
Pues, os acordáis que en lugar de 00:13:39
local.cum.bm tenemos el add local.cum.bm o el remove local.cum.bm. Pues vamos a añadir 00:13:40
primeramente el ordenador, ¿de acuerdo? En este caso el servidor. Entonces para eso vamos 00:13:46
a utilizar este comando. Le decimos que quiero añadir el grupo a lectores de registro y 00:13:52
el miembro que quiero añadir es el nombre del dominio, pero del nombre en netbios, es 00:13:58
decir, no tenemos que poner canabela.local, es canabelal, y luego seguido el nombre de 00:14:04
Y por favor, importante, ponerle al final un dólar para indicar que es un equipo, ¿de acuerdo? Porque si no va a dar error. Le doy al Enter y ya lo tenemos añadido. ¿Qué es el otro que vamos a añadir? Pues el servicio de red. Pues añadimos el servicio de red y ejecutamos el mismo comando, pero poniendo en este caso como miembro servicios de red. ¿De acuerdo? 00:14:08
entonces fijaros que si yo ahora me voy a modo gráfico 00:14:33
pues tenemos que tener lo mismo que antes 00:14:37
los lectores de registro, tanto el servidor 00:14:39
como los servicios de red 00:14:41
para que esa comunicación sea factible 00:14:43
¿de acuerdo? 00:14:45
entonces en un principio 00:14:47
en el cliente yo ya lo tendría preparado 00:14:48
¿si? ahora nos vamos 00:14:51
a ir al servidor, me voy al servidor 00:14:53
y vamos a crear una suscripción 00:14:55
voy a empezar haciendo una suscripción 00:14:56
super simple y luego 00:14:59
vamos a hacer una suscripción 00:15:01
más específica, ¿de acuerdo? Entonces le doy en suscripción, le digo botón derecho y veis que aquí en el submenú me aparece 00:15:03
crea suscripción, pues si le doy a crear suscripción, le tenemos que poner un nombre, pues por ejemplo, los errores de aplicaciones, ¿vale? 00:15:10
Por defecto que sepáis que todos estos registros se van a quedar almacenados en eventos reenviados, pero si pincháis aquí en el registro 00:15:25
de eventos, vosotros le podéis decir 00:15:33
o vosotras le podéis decir donde queréis que se almacenen 00:15:36
entonces aquí os va a aparecer todos estos que veis 00:15:39
aquí, de acuerdo 00:15:42
son todos los eventos que nosotros tenemos dentro de 00:15:44
el registro de 00:15:48
voy a darle a cancelar un momento 00:15:50
dentro del registro de aplicaciones 00:15:53
dentro de eventos de Microsoft y dentro de Windows 00:15:57
y perdón, dentro de, no aquí, dentro de Microsoft 00:16:00
¿vale? aquí tenéis en este caso 00:16:05
todo eso que habéis visto en la lista 00:16:08
son todo esto que tenéis aquí 00:16:10
para decirle vosotros o vosotras 00:16:12
donde queréis almacenarlo 00:16:14
pero por defecto se me va a almacenar aquí 00:16:15
el que tengo seleccionado ahora 00:16:18
¿de acuerdo? este de aquí 00:16:19
entonces vamos a seguir haciéndolo 00:16:21
voy a minimizar, voy a colapsar todo esto 00:16:23
suscripciones, botón derecho, repetimos 00:16:26
crear suscripción 00:16:28
Yo qué sé, errores de aplicaciones 00:16:30
Me dice que puedo hacer, en este caso, el tipo de exclusión 00:16:38
O que lo puedo iniciar desde aquí, que es el que vamos a hacer ahora 00:16:43
O lo puedo iniciar desde el equipo de origen, es decir, del cliente 00:16:45
Nosotros vamos a hacer aquí, el que está puesto por defecto 00:16:48
Entonces, ¿quién va a iniciar esta suscripción? 00:16:51
Yo, el servidor 00:16:54
Le digo, seleccionar los equipos 00:16:55
Y aquí tengo que poner a qué equipo quiero suscribirme 00:16:57
Para coger sus eventos, entonces aquí agregamos y vamos a agregar al nombre del equipo que teníamos, el nombre del equipo, si me voy aquí a botón derecho propiedades, pues este equipo si no recuerdo mal se llama PC1, ¿vale? 00:17:00
¿Lo veis aquí? Pues entonces yo aquí en el servidor le voy a poner directamente PC01, o lo puedo buscar, ¿eh? O sea, me da igual, le doy a aceptar, ¿vale? Y ahora, antes de seguir, ¿veis aquí el botón que me aparece probar? ¿Vale? Pues le doy aquí a probar y me dice que la prueba de conectividad es correcta, es decir, vamos bien, ¿de acuerdo? 00:17:16
Si aquí os sale un error, comprobar lo que hemos configurado en el cliente, ¿de acuerdo? 00:17:43
Le doy a aceptar y ahora le tengo que decir qué eventos quiero capturar, por decirlo de alguna manera. 00:17:48
Entonces me voy a ir aquí a seleccionar en este caso el evento y vamos a poner uno fácil. 00:17:54
Le voy a decir en este caso cuándo lo quiero registrar, ¿vale? 00:18:01
En cualquier momento, la última hora, las últimas 12 horas, el último día, etc. 00:18:05
Le digo en cualquier momento y le vamos a decir que quiero capturar los errores. 00:18:09
Y ahora me dice, vale, tú le puedes decir que capture por registro o por origen. 00:18:13
Si yo le digo por origen, yo aquí le puedo decir en este caso, dependiendo del tipo de aplicación, dependiendo del tipo de servicio, 15.000 cosas, ¿vale? 00:18:18
Pero vamos a hacerlo fácil. 00:18:26
Me voy por registro y aquí por registro vamos a seleccionar en este caso, pues digo, mira, quiero que me muestre los errores de estos cuatro, ¿de acuerdo? 00:18:27
¿De acuerdo? Entonces, los errores que ocurran dentro del registro correspondiente a aplicación, seguridad, instalación o sistema, quiero en este caso que me aparezcan aquí. ¿Sí? Le voy a dar en este caso a aceptar y le damos a aceptar. ¿De acuerdo? 00:18:38
Entonces, repito, le hemos puesto un nombre, hemos seleccionado recopilador, perdón, iniciada por el recopilador, en seleccionar equipos hemos puesto el nombre del equipo que queremos recopilar, el PC01, y en seleccionar eventos hemos dicho qué eventos queremos capturar, ¿vale? 00:18:58
Y una vez esto, le damos a aceptar. Y ya tendremos aquí el recopilador de eventos. Si queréis comprobar si la conectividad está bien, si yo lo selecciono y le digo botón derecho, aquí lo puedo eliminar, lo puedo deshabilitar o puedo ver el estado en el que se encuentra. 00:19:15
Si yo pincho estado en tiempo de ejecución, si todo ha ido bien, os tiene que aparecer esta V, diciendo que está activo, ¿de acuerdo? Y que todo está activado correctamente. Si os sale algún tipo de error, vuelvo a repetir, comprobar lo que hemos configurado en el cliente, por favor, ¿de acuerdo? 00:19:35
Entonces, ¿qué es lo que tengo que hacer ahora? Pues, por ejemplo, vamos a crear un evento a pelo dentro del cliente, ¿de acuerdo? Eso sí, que sepáis que esto suele tardar en torno a unos 10-15 minutos, ¿de acuerdo? 00:19:54
Entonces vais a ver que yo voy a parar el vídeo porque no vamos a estar aquí 15 minutos tocando las narices. 00:20:09
Entonces voy a copiar lo que me interesa, nos vamos a ir al cliente y en el cliente, ya que tengo abierto todavía el PowerShell, vamos a ejecutar este comando. 00:20:17
¿Vale? Hay un comando que me permite 00:20:34
Generar un evento yo a pelo 00:20:39
¿Vale? Para no estar esperando que 00:20:40
Un error, entonces hay un comando que se llama 00:20:43
EvenCredit 00:20:45
Voy a poner más grande 00:20:46
Que yo le pongo el identificador 00:20:48
Que quiero que tenga ese evento 00:20:54
Le digo que tipo de error 00:20:55
De, perdón, de evento voy a crear 00:20:58
De tipo error y dentro 00:20:59
De que sección 00:21:01
Con lo correspondiente a aplicación 00:21:03
Y aquí le pongo el mensaje que quiero que me salga 00:21:05
error grande 00:21:08
que estoy haciendo un vídeo 00:21:11
entonces si yo le doy 00:21:14
fijaros que se ha creado correctamente 00:21:16
voy a crear un par de ellos 00:21:17
entonces me ha tenido que crear cuatro eventos 00:21:19
¿cómo veo esto? 00:21:22
si yo me voy aquí al visor de eventos 00:21:23
me voy a registro de Windows 00:21:25
y me voy a aplicación 00:21:35
pues quiero que veáis lo que me va a aparecer 00:21:37
quiero que veáis que aquí me aparecen los errores 00:21:40
los cuatro que yo he generado 00:21:56
le he dicho que son de tipo error 00:21:58
que me aparecen de aplicación 00:22:00
¿de acuerdo? entonces ¿por qué he hecho esto? 00:22:01
porque así no tengo que estar esperando ni estar 00:22:04
generando absolutamente nada 00:22:05
entonces ¿qué es lo que tendría que pasar? 00:22:07
pues si yo ahora me voy al servidor 00:22:10
me voy aquí al servidor 00:22:11
me voy a registro de Windows 00:22:13
y eventos reenviados 00:22:16
aquí 00:22:17
es donde me tendría que aparecer ¿de acuerdo? 00:22:18
repito, por defecto 00:22:22
me va a aparecer dentro del registro de Windows 00:22:23
eventos reenviados y aquí es donde me tendría que aparecer los errores que se han generado en 00:22:26
el cliente entonces aquí donde me vais a ver que voy a parar el vídeo porque vamos a esperar unos 00:22:32
10-15 minutos y le voy a dar aquí a actualizar para que veáis que aquí me tienen que aparecer 00:22:37
de acuerdo entonces voy a parar eso el vídeo unos 10-15 minutos y ahora volvemos me han pasado más 00:22:42
Más o menos unos 10-15 minutos y fijaros que he refrescado y fijaros que aquí ya me aparecen los errores que son del servidor. 00:22:52
Fijaros que, lo mostramos por aquí, me dicen que el equipo en el que se ha generado ha sido el PC01, correspondiente al registro de aplicación, 00:23:04
que el ID es el 999 00:23:18
¿de acuerdo? 00:23:20
y la hora en el que se ha generado 00:23:23
¿de acuerdo? y el tipo de quien ha generado el evento 00:23:25
y luego me aparece por la descripción 00:23:27
que nosotros le hemos puesto 00:23:29
entonces ¿qué consigo con esto? 00:23:30
imaginaos que yo tengo 7 o 8 ordenadores 00:23:33
yo puedo unificar aquí 00:23:34
en este caso mediante suscripciones 00:23:36
pues todos los eventos que quiero que se registren 00:23:39
y no tengo que ir de uno a uno 00:23:41
en este caso controlando los eventos 00:23:42
¿de acuerdo? pues ya que estamos 00:23:45
Voy a coger aquí en suscripciones, voy a borrarlo, botón derecho, lo eliminamos y ahora vamos a hacer otro simplemente para que lo veáis. 00:23:47
Dentro de este Windows voy a hacer una cosa, voy a cerrar, cierro la sesión y voy a entrar con el administrador del dominio. 00:23:56
Entonces le doy a otro usuario y nos introducimos como el administrador del dominio. 00:24:12
Esto se queda reflejado como un evento, diciendo que se ha iniciado sesión y me pone quién ha iniciado sesión. 00:24:34
Entonces, lo que quiero que veáis es qué identificador de evento hay. 00:24:41
¿Por qué? Porque vamos a hacer una suscripción para decirle que los eventos de inicio de sesión se me queden registrados, 00:24:45
para que yo así sepa quién ha iniciado sesión en este equipo. 00:24:52
¿De acuerdo? 00:24:57
entonces ahora cuando arranque nos vamos a meter en el visor de eventos 00:24:57
y vamos a ver cuál es el identificador de evento 00:25:02
que corresponde a los inicios de sesión 00:25:05
entonces me meto en el visor de eventos 00:25:09
y quiero que veáis 00:25:16
espera que lo pongo esto un poquito más grande 00:25:27
vale, y aquí me voy a registro de Windows 00:25:29
me voy al que me pone seguridad 00:25:33
y quiero que veáis que aquí hay uno que tiene este identificador. 00:25:36
¿Veis que me pone aquí, se inició con una cuenta correcta? 00:25:42
Os recuerdo que yo puedo filtrar, ¿de acuerdo? 00:25:46
Entonces le voy a decir que quiero filtrar por este identificador, ¿de acuerdo? 00:25:55
Porque no quiero ver todo lo que me aparece. 00:25:59
Entonces vamos a crearlo, es 4624. 00:26:01
Le doy a filtrar registro actual 00:26:04
y aquí en el que me pone 00:26:06
que puedo poner los identificadores de evento 00:26:09
vamos a poner el 4624 00:26:11
le doy a aceptar 00:26:13
y ya tengo aquí 00:26:18
entonces, ¿qué es lo que quiero que veáis? 00:26:19
pues fijaros que aquí me pone 00:26:22
que se ha iniciado sesión de una cuenta 00:26:23
si yo sigo bajando por aquí 00:26:25
este en este caso es de sistema 00:26:28
si sigo bajando con la flechita 00:26:31
le voy a dar aquí 00:26:33
le voy a dar aquí 00:26:34
y vamos bajando 00:26:40
entonces aquí tengo un inicio 00:26:41
sigo bajando, sigo bajando, sigo bajando 00:26:44
sigo bajando, sigo bajando 00:26:47
y fijaros que aquí hay uno 00:26:48
que me dice que se ha iniciado sesión 00:26:51
y en este caso con estas credenciales 00:26:56
¿me seguís? 00:26:58
entonces yo simplemente con el 4624 veo todos los inicios de sesión 00:27:00
pero lo mismo a mí me interesa solamente ver los inicios de sesión del administrador 00:27:05
entonces vamos a empezar por el fácil 00:27:09
Y luego modificamos para que solamente se me quede reflejado el de administrador 00:27:11
¿De acuerdo? 00:27:16
Pero os recuerdo que cada vez que le doy aquí 00:27:18
Lo que hace es, primero me muestra este, luego me muestra el siguiente 00:27:19
Luego me muestra el siguiente, luego me muestra el siguiente 00:27:24
Es decir, va bajando 00:27:27
Entonces ahora mismito estoy en este de aquí 00:27:28
¿De acuerdo? Que es en el que está, no sé si lo veis un poquito gris 00:27:32
¿Sí? 00:27:34
Entonces, ¿qué es lo que vamos a hacer? 00:27:36
Le voy aquí a cerrar y sabiendo que el identificador que me interesa es el 4624, pues nos vamos a ir al servidor y vamos a crear una suscripción. 00:27:37
Botón derecho en suscripciones, crear suscripción y le voy a poner inicio de sesión. 00:27:47
Seleccionamos equipo, ponemos el PC01, agregar equipo del dominio, PC01, probamos que la conexión está correcta. 00:27:57
Si antes no ha funcionado ahora también 00:28:10
Y le damos a seleccionar eventos 00:28:12
Y ahora aquí en seleccionar eventos 00:28:14
Le vamos a decir que el evento que quiero 00:28:17
Solamente de seguridad 00:28:22
¿Sí? 00:28:25
Y le vamos a poner que solamente quiero 00:28:27
El que hemos dicho 00:28:29
El 4624 00:28:30
4624 00:28:32
¿De acuerdo? 00:28:34
Entonces no hace falta que le diga 00:28:37
ni tipo error ni tipo información porque directamente me va a coger en este caso y 00:28:38
me va a coger lo de seguridad cuyo identificador es 4624. Le damos a aceptar, le damos a aceptar 00:28:45
y ya tenemos aquí en este caso nuestro sesión. Botón derecho, estado en tiempo de ejecución. 00:28:52
Si nos sale este error vamos a intentar esperar un poquito a que se pueda comunicar. Vale, 00:28:59
Me he ido al cliente y he detenido el servicio y lo he vuelto a arrancar, ¿vale? 00:29:07
Pues no sé qué estaba pasando. 00:29:12
De forma que le he dicho botón derecho, estado, y ya me pone que va todo bien, ¿de acuerdo? 00:29:14
Entonces, ¿qué es lo que vamos a hacer ahora? 00:29:20
Repito que es lo que teníamos, ¿eh? 00:29:21
Aquí le hemos dicho que solamente quiero que me capture los eventos 46-24. 00:29:23
Entonces, ¿qué es lo que voy a hacer ahora en el cliente? 00:29:29
Me voy al cliente, voy a cerrar sesión y voy a entrar otra vez como administrador. 00:29:30
De acuerdo 00:29:38
Entonces esto me tiene que quedar reflejado 00:29:54
Dentro del registro de Windows en el servidor 00:29:58
Y eventos reenviados 00:30:00
Entonces voy a borrar esto que tenemos 00:30:03
Le voy a decir en eventos reenviados 00:30:05
Botón derecho vaciar registro 00:30:07
Le voy a decir a borrar 00:30:09
Para que ahora 00:30:11
Pasado 10-15 minutos 00:30:12
Veamos que aquí me tienen que aparecer los eventos 00:30:14
Que son 46 00:30:16
No se que tenemos, 46-24 00:30:17
De acuerdo 00:30:20
voy a cerrar otra sesión 00:30:21
simplemente para que haya un par de ellas 00:30:25
cerrar sesión 00:30:26
y vuelvo a entrar con el administrador 00:30:27
pongo el administrador pero da igual 00:30:30
voy a entrar con otro 00:30:33
he entrado con el 00:30:36
hay tortilla 00:30:49
entonces ahora voy a parar el vídeo 00:30:50
y dentro de 15 minutos 00:30:53
aproximadamente 00:30:55
pues vamos a ver que es lo que me aparece aquí 00:30:57
¿de acuerdo? 00:30:59
Pues venga, ahora seguimos. 00:31:02
Vale, ya se ha actualizado, ¿de acuerdo? 00:31:06
Y quiero que veáis que me aparece aquí, en este caso, toda la información. 00:31:08
Si voy pinchando en cada una de ellas y vamos mostrando la información, pues vamos viendo, en este caso, todos aquellos cuyo identificador es el 4624, ¿de acuerdo? 00:31:15
Pero aquí tengo un problema, aquí me aparecen todos los inicios de sesión. 00:31:29
Da igual que sean, en este caso, usuarios específicos, usuarios del sistema, etc, etc. 00:31:32
Entonces, si yo voy bajando para abajo, ¿de acuerdo? 00:31:37
Porque todo es el 4.6. 00:31:41
Voy bajando para abajo y vuelvo a repetir que todo es el identificador 4624, es decir, lo está haciendo bien. 00:31:44
Todos son, en este caso, logon. 00:31:54
Pero yo tendré que ir bajando por aquí abajo. 00:31:57
Vais bajando 00:32:00
The system, voy bajando, voy bajando 00:32:02
Voy bajando 00:32:05
Y aquí tengo en este caso 00:32:06
A la itortilla 00:32:09
Entonces yo veo que la itortilla 00:32:10
En este caso 00:32:13
Con el identificador correspondiente 00:32:14
A las, el día 13 00:32:17
A las 00:32:19
A las 12 y 2 y 36 segundos 00:32:20
Ha iniciado sesión 00:32:23
Y si yo sigo bajando 00:32:24
Pues voy viendo aquí los diferentes, en este caso 00:32:26
elementos, pero a mí me interesa este 00:32:29
es decir, yo solamente 00:32:31
quiero saber cuándo el administrador ha iniciado 00:32:33
sesión, yo no quiero todo lo demás 00:32:35
para mí lo demás es paja 00:32:37
yo solamente quiero saber cuándo un administrador 00:32:39
ha iniciado sesión en ese equipo 00:32:41
¿de acuerdo? entonces yo solamente 00:32:43
quiero suscribirme o suscribir 00:32:45
ese tipo de eventos 00:32:47
entonces fijaros lo que voy a hacer, no sé si veis 00:32:48
aquí abajo 00:32:51
que me aparece aquí el botón de copiar 00:32:51
¿de acuerdo? 00:32:55
pues vamos a darle a copiar 00:32:57
Voy a abrir un blog de notas 00:32:58
Y lo voy a pegar aquí 00:33:02
Porque quiero que veáis una cosita 00:33:09
¿Vale? 00:33:12
Todo esto es lo que me ha devuelto en este caso ese evento 00:33:17
Entonces, ¿qué es lo que me interesa a mí ver? 00:33:19
Si estoy bajando por aquí abajo 00:33:22
Quiero que veáis esto 00:33:24
Me dice, mira 00:33:25
Tengo aquí de tipo System 00:33:26
¿Vale? 00:33:30
Me dicen que el Event ID es 4624 00:33:31
me pone aquí diferentes elementos, es decir, todo esto 00:33:35
es de System, ¿de acuerdo? Diciendo que es de tipo Security 00:33:39
que lo tengo 00:33:43
no sé por dónde, ¿de acuerdo? Y me dice 00:33:47
que el evento ID es este de aquí. Y luego, aquí abajo, en el que me pone 00:33:51
EventData, que empieza aquí y termina aquí 00:33:55
me pone un montonazo de información. Por ejemplo, me pone que 00:33:59
el atributo que se llama subjectUserId es este de aquí, que me pone que el subjectUserName es este de aquí. 00:34:03
Entonces, ¿cuál me interesa a mí? Pues me interesaría, por ejemplo, este de aquí, para decirle, 00:34:12
oye, quiero que solamente me muestres aquellos cuyo nombre, en este caso de destino, es el administrador, 00:34:16
para que solamente me quede reflejado ese. Entonces, por eso os he enseñado el copy-pega, 00:34:23
porque vamos a modificar la consulta que tenemos, por decirlo de alguna manera, 00:34:28
para decirle que se cumpla esto, ¿de acuerdo? 00:34:33
Entonces voy a cerrar esto y vamos a hacerlo. 00:34:36
Voy a borrar enviadores, vaciar el registro, voy a borrar, me voy a suscripciones y vamos a hacer una suscripción. 00:34:41
Bueno, vamos a modificar esta, ¿qué narices? 00:34:49
Botón derecho, vamos a propiedades, seleccionamos el que me pone seleccionar eventos 00:34:50
Y ahora quiero que veáis aquí que el que yo tengo es un filtro básico, es decir, todo esto que estamos haciendo es un filtro básico. 00:34:57
Todo esto se traduce a que yo puedo coger y pinchar aquí en el que se llama XML, porque al fin y al cabo esta consulta que estamos haciendo aquí, este filtro, se traduce en este caso en un formato XML. 00:35:15
Entonces voy a pinchar en la columna que pone en la pestaña que pone XML y quiero que veáis que esto que me pone aquí es la consulta actual, que me dice que es correspondiente al security y me dice que me vas a seleccionar de security aquello cuyo evento es este de aquí, ¿vale? 00:35:33
Pero yo esto no lo puedo modificar, ¿vale? Para modificarlo tengo que seleccionar aquí abajo el que me pone editar consulta, ¿vale? Cuidado porque si modificáis esta consulta desde aquí, luego ya no vais a poder pinchar en la pestaña filtro, ¿de acuerdo? Porque filtro son consultas básicas, ¿de acuerdo? 00:35:53
Pero en este XML yo puedo hacer lo que me dé la real gana. 00:36:11
Entonces, ¿qué es lo que vamos a hacer nosotros? 00:36:17
Vamos a editarla. 00:36:19
Selecciono editar. 00:36:20
Me dice, oye, si elige editar la consulta, ya no podrá modificarla usando los controles de la pestaña filtro. 00:36:21
Lo que os he dicho antes. 00:36:28
¿Desea continuar? 00:36:29
Sí. 00:36:29
¿De acuerdo? 00:36:30
Y ahora vamos a poner aquí la consulta que queremos nosotros. 00:36:31
Como no tengo ganas de escribir, la voy a quitar y la voy a pegar. 00:36:34
Entonces, ¿qué es lo que ha cambiado con respecto a lo anterior? 00:36:40
Todo esto es igual, todo esto es igual, pero lo que hemos añadido nosotros es esto de aquí 00:36:44
¿Vale? Entonces, ¿qué es lo que le hemos dicho? 00:36:50
Le hemos dicho, oye, quiero que me cojas cuyo identificador es el 4624 00:36:53
Y que además, quiero que me cojas de event data 00:37:00
me cojas el dato que corresponde al nombre 00:37:05
y que además el contenido, el data, sea administrador 00:37:10
¿de acuerdo? 00:37:15
he cerrado el programa para que viéseis 00:37:17
entonces aquí le estoy diciendo que no solamente quiero que sea el identificador 4624 00:37:21
que es el correspondiente a logon 00:37:26
sino que además y quiero que lo que es correspondiente a los datos del evento 00:37:28
lo que corresponde, por decirlo así, a la propiedad target username, ¿de acuerdo? 00:37:33
Es decir, que sea la propiedad target username y que además el contenido de esa propiedad sea administrador, ¿de acuerdo? 00:37:40
Entonces le damos a aceptar, le damos a aceptar y ya tenemos aquí la consulta, ¿de acuerdo? 00:37:47
Comprobamos que la conexión es correcta y ahora si yo me voy aquí al cliente, me voy a salir de este usuario. 00:37:54
Cierro sesión y me voy a meter como el administrador, me meto un par de veces, cierro la sesión y me voy a meter como el administrador. 00:38:05
Entonces cuando pasen ya, y con esto ya terminamos el vídeo que se me está alargando mucho, cuando pasen otros 15 minutos, solamente me tiene que quedar reflejado en la suscripción aquellos inicios de sesión del usuario administrador. 00:38:26
Voy a cerrar sesión y voy a volver a entrar, ¿de acuerdo? 00:38:39
entonces ahora voy a dejar pasar como siempre 00:38:42
me voy aquí a eventos a reenviados 00:38:52
y voy a darle de vez en cuando a actualizar 00:38:54
y cuando me actualice y me ponga aquí los datos 00:38:57
pues vemos si efectivamente me ha funcionado 00:39:00
en torno a unos 15 minutos, ahora nos vemos 00:39:02
vale, ya se ha actualizado 00:39:05
entonces quiero que veáis que ahora solamente me aparecen 00:39:09
el 4624 pero correspondiente al administrador 00:39:13
Si abrimos cada uno de ellos, fijaros que este es el inicio de sesión del administrador, inicio de sesión del administrador, inicio de sesión del administrador, ¿de acuerdo? 00:39:18
Entonces, así yo puedo filtrar en este caso por lo que a mí me dé la gana, ¿de acuerdo? 00:39:30
Entonces, simplemente para que veáis que es esto de las suscripciones de eventos y que se quedan reflejados por defecto en eventos enviados. 00:39:36
Pues venga, un saludo. 00:39:44
Idioma/s:
es
Autor/es:
Fernando Herrero Núñez
Subido por:
Fernando Jesús H.
Licencia:
Reconocimiento - No comercial - Compartir igual
Visualizaciones:
45
Fecha:
26 de junio de 2023 - 17:47
Visibilidad:
Público
Centro:
IES EL CAÑAVERAL
Duración:
39′ 47″
Relación de aspecto:
1.89:1
Resolución:
1920x1016 píxeles
Tamaño:
132.52 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid