Hay unos eventos más comunes que otros, pero aún así entrar a detallarlos cuando se dispone de la knowledgebase creo que no vale la pena.
Aquí teneis un par de enlaces si teneis curiosidad.
http://support.microsoft.com/kb/299475/es
http://support.microsoft.com/kb/301677/es
—
En un registro de seguridad aparecen diversos eventos, cada uno de ellos tiene un valor numérico denominado Event ID + una cifra. La búsqueda de información sobre un evento puede realizarse desde la http://support.microsoft.com/search/default.aspx.
—-
Todos los eventos relacionados con la seguridad del sistema operativo en NT, Windows server 2003 y XP se graban en el registro de seguridad del visor de eventos. También pueden serlo en los registros de aplicación y sistema.
Antes de habilitar directivas de auditorías, debería evaluarse si la configuración predeterminada de los archivos de registro del visor de eventos es la apropiada para nuestras necesidades.
La configuración la podemos ver desde el menú de herramientas administrativas, abrimos el visor de eventos y luego con clic derecho en el registro y seleccionar propiedades.
De forma predeterminada el registro se almacena en systemroot/system32/config, en un archivo llamado SecEvent.evt. En Windows Server 2003 podemos cambiar la ubicación del registro desde las propiedades del propio registro. En NT o Windows Server 2000 debe editarse el registro para cambiar la ubicación de cada registro de seguridad.
También de forma predeterminada sólo la cuenta system y el grupo de administradores tienen acceso al registro de seguridad. Esto evita que los no administradores pueden leer, escribir o suprimir eventos de seguridad. Así que si movemos la ubicación de los registros hemos de asegurarnos que el nuevo archivo tenga los permisos NTFS correctos. Y ya que el servicio de Visor de eventos no puede detenerse, cualesquiera cambios no se aplicarán hasta que el servidor sea reiniciado.
También viene definido el tamaño máximo que el registro de seguridad puede alcanzar para comenzar a sobrescribir los existentes y que es de 512KB. Ya que en la actualidad parece que disponemos de más espacio en los discos duros que anteriormente, sería muy interesante incrementar ese valor. La cantidad que debe incrementarse dependerá también de la configuración de sobrescritura para dicho registro de seguridad, aunque parece que una cantidad generalmente utilizada es un tamaño máximo de al menos 50MB. Podemos cambiar el tamaño máximo del registro de seguridad en equipos individuales en las propiedades del propio registro de seguridad o en una gran cantidad de equipos mediante la utilización de plantillas o editando el registro de windows.
El tamaño máximo que establecería para el conjunto de los tamaños de todos los registros es de 300MB. Cada evento tiene entre 350 y 500 bytes, así que 10MB contendrían aproximadamente entre 20000 y 25000 eventos de seguridad.
Cuando configuramos el registro de seguridad, debemos definir el comportamiento de sobrescritura para cuando se alcanza el tamaño máximo.
– Sobrescribir eventos cuando sea necesario
Los nuevos eventos continuan grabándose aunque el registro esté lleno. Cada nuevo evento sustituye e uno antiguo.
– Sobrescribir eventos antiguos de más de x días.
Los eventos se retienen en el registro durante los días especificados antes de ser sobrescritos. De forma predeterminada son 7 días.
– No sobrescribir eventos.
Los nuevos eventos no se graban hasta que se vacíe manualmente el registro.
Para delegar los derechos de administración sobre los archivos de registro, configuraremos la directiva de grupo Administrar los registros de auditoría y seguridad, que se encuentra en Configuración de equipoconfiguración de windowsconfiguración de seguridaddirectiva localasignación de derechos de usuario.