Auditar el seguimiento de procesos nos permite disponer de un registro detallado de la ejecución de procesos, incluyendo el inicio de programa, salida del proceso, duplicación de manejadores y acceso indirecto a objetos. El seguimiento de procesos como mínimo, genera un evento para el inicio y salida de cada proceso. De este modo si se habilitan los aciertos se generan un gran número de eventos en el visor de sucesos.
Esta auditoría resulta útil para la solución de problemas de aplicaciones y aprender cómo éstas trabajan, sin embargo debemos habilitarla porque tenemos razones claras para ello. Probablemente necesitaremos un método automatizado de análisis de los registros de sucesos para analizar los archivos de registro con éxito allí donde hemos habilitado el seguimiento de procesos.
Los eventos más comunes son:
592 | Se ha creado un nuevo proceso. |
593 | Proceso finalizado. |
594 | Se ha duplicado un manejador para un objeto. |
595 | Se ha obtenido acceso indirecto a un objeto. |
Al habilitar la auditoría de los eventos de sistema, podemos rastrear cuando un usuario o proceso altera aspectos del entorno del equipo. Los eventos comunes incluyen el vaciado de los registros de eventos de seguridad, el apagado del equipo local, y los cambios hechos en los paquetes de autenticación funcionando en el equipo.
Debe estar habilitada para grabar los reinicios del sistema y los intentos de limpieza de los registros de eventos.
512 | El sistema operativo se está iniciando. |
513 | El sistema operativo se está apagando. |
514 | Un paquete de autenticación se ha cargado mediante LSA. |
515 | Un proceso de inicio de sesión de confianza se ha registrado con LSA. |
516 | Los recursos internos asignados para el encolado de mensajes de eventos de seguridad se han agotado, esto llevará a la pérdida de algunos mensajes de eventos de seguridad. |
517 | Se ha limpiado el registro de Seguridad. |
518 | Se cargó un paquete de notificación mediante la SAM. |
520 | Se ha cambiado la hora del sistema. |