Administrando los registros de seguridad
Podemos configurar registros de seguridad (logs) para grabar información relativa a los sucesos y eventos de un servidor y de AD. Estos sucesos se graban en el registro de seguridad de Windows, que puede grabar suceso de seguridad, como un inicio de sesión válido o intentos inválidos de iniciar sesión, el uso de los recursos, como crear, abrir o borrar archivos. Debemos iniciar sesión como administrador para controlar que eventos son auditados y mostrados en el registro de seguridad.
¿Qué es un archivo de registro(log)?
Archivos que graban sucesos, que cada equipo tiene por separado para grabar sucesos locales. Los controladores de dominio registran la información sobre AD.
Podemos ver los siguientes archivos de registro desde el Visor de Sucesos, y dependiendo del equipo que se está usando y de los servicios instalados en el mismo.
- Aplicación
Registra aquéllos eventos generados por las aplicaciones instaladas en el equipo, incluyendo aplicaciones de servidor, como Exchange o SQL, y aplicaciones de escritorio, como Office.
- Seguridad
Eventos generados por las Auditorías. Incluyendo inicios y cierres de sesión, acceso a los recursos y cambios en las políticas.
- Sistema
Eventos generados por componentes y servicios en Windows Server 2003.
- Servicio de Directorio
Presente sólo en DCs. Por ejemplo registra la replicación de AD.
- Servicio de replicación de archivos
Igual que el anterior, sólo presente en DCs. Registra la replicación de las políticas de grupo, por ejemplo.
Como se ha comentado, pueden existir otros logs, dependiendo de esos servicios instalados y en funcionamiento. Si decidimos utilizar la auditoría de forma extensiva, hemos de aumentar el tamaño de los archivos logs en el apartado de registro de eventos de la directiva de seguridad.
Los registros se guardan en raízdelsistema/system32/config y se pueden exportar y guardar con los siguientes formatos de archivo:
- Event log files (.evt), predeterminado.
- Delimitado por comas (.csv)
- Texto (.txt)