Implementando plantillas administrativas y auditorías -XV-

Administrando los registros de seguridad

Podemos configurar registros de seguridad (logs) para grabar información relativa a los sucesos y eventos de un servidor y de AD. Estos sucesos se graban en el registro de seguridad de Windows, que puede grabar suceso de seguridad, como un inicio de sesión válido o intentos inválidos de iniciar sesión, el uso de los recursos, como crear, abrir o borrar archivos. Debemos iniciar sesión como administrador para controlar que eventos son auditados y mostrados en el registro de seguridad.

¿Qué es un archivo de registro(log)?

Archivos que graban sucesos, que cada equipo tiene por separado para grabar sucesos locales. Los controladores de dominio registran la información sobre AD.

Podemos ver los siguientes archivos de registro desde el Visor de Sucesos, y dependiendo del equipo que se está usando y de los servicios instalados en el mismo.

  • Aplicación

Registra aquéllos eventos generados por las aplicaciones instaladas en el equipo, incluyendo aplicaciones de servidor, como Exchange o SQL, y aplicaciones de escritorio, como Office.

  • Seguridad

Eventos generados por las Auditorías. Incluyendo inicios y cierres de sesión, acceso a los recursos y cambios en las políticas.

  • Sistema

Eventos generados por componentes y servicios en Windows Server 2003.

  • Servicio de Directorio

Presente sólo en DCs. Por ejemplo registra la replicación de AD.

  • Servicio de replicación de archivos

Igual que el anterior, sólo presente en DCs. Registra la replicación de las políticas de grupo, por ejemplo.

Como se ha comentado, pueden existir otros logs, dependiendo de esos servicios instalados y en funcionamiento. Si decidimos utilizar la auditoría de forma extensiva, hemos de aumentar el tamaño de los archivos logs en el apartado de registro de eventos de la directiva de seguridad.

Los registros se guardan en raízdelsistema/system32/config y se pueden exportar y guardar con los siguientes formatos de archivo:

  • Event log files (.evt), predeterminado.
  • Delimitado por comas (.csv)
  • Texto (.txt)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *