Parámetros de configuración del origen de eventos de Windows

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica cómo configurar los orígenes de eventos de Windows para el Log Collector.

La opción Windows/Configuración de la vista Configuración del servicio Log Collector > pestaña Orígenes de evento muestra los parámetros que se especifican para configurar orígenes de eventos de Windows.

Para acceder a los parámetros de configuración del origen de eventos de Windows:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Log Collector.
  3. En la columna Acciones, seleccione Menú Acciones recortado > Ver > Configuración.
  4. En la pestaña Orígenes de evento, seleccione Windows/Configuración en los menús desplegables.

WinEvSrcTb.png

Características

La vista Windows/Configurar de la pestaña Orígenes de evento tiene dos paneles: Categorías de evento y Hosts.

Panel Categorías de evento

El panel Categorías de evento proporciona una lista de alias de orígenes de eventos de Windows existentes. Use esta sección para agregar o eliminar alias de orígenes de eventos de Windows.

El dominio de Windows, conocido como alias, es el parámetro de configuración que Log Collector usa para agrupar orígenes de eventos. Generalmente, el alias define a un solo dominio, porque las credenciales (es decir, nombre de usuario y contraseña) y los canales se aplican a todo el dominio. En ocasiones, es necesario definir varias entradas de alias para el mismo dominio si se necesita personalizar los ajustes de diferentes grupos de orígenes de eventos.

Barra de herramientas

En la siguiente tabla se proporcionan descripciones de las opciones de la barra de herramientas.

                      
OpciónDescripción
Icon-Add.pngMuestra el cuadro de diálogo Agregar origen de evento, en el cual se definen los parámetros de un nuevo origen de eventos de Windows.
Icon_Delete_sm.pngElimina los alias de origen de eventos de Windows seleccionados.
icon-edit.pngMuestra el cuadro de diálogo Editar origen de evento, en el cual se editan los parámetros del origen de eventos de Windows seleccionado.
Cuando se seleccionan varios orígenes de eventos, se abre el cuadro de diálogo Edición en masa de origen, en el cual puede editar los valores de los parámetros de los orígenes de eventos seleccionados. 
Consulte Importar, exportar y editar orígenes de eventos de manera masiva en la Guía de configuración de la recopilación de registros para conocer los pasos detallados sobre cómo usar esta función.
ImportSourceIcon.PNGAbre el cuadro de diálogo Opción Adición en masa en el cual puede importar parámetros de host de origen de eventos de manera masiva desde un archivo con valores separados por comas (CSV).
Consulte Importar, exportar y editar orígenes de eventos de manera masiva en la Guía de configuración de la recopilación de registros para conocer los pasos detallados sobre cómo usar esta función.
ExportSourceIcon.PNGCrea un archivo .csv que contiene los parámetros de los hosts seleccionados.
Consulte Importar, exportar y editar orígenes de eventos de manera masiva en la Guía de configuración de la recopilación de registros para conocer los pasos detallados sobre cómo usar esta función.
testConnection.PNGValida los parámetros de configuración para los hosts seleccionados. 
Consulte la Guía de configuración de la recopilación de registros para conocer los pasos detallados sobre cómo probar conexiones de orígenes de eventos en masa.

Cuadro de diálogo Agregar origen de eventos

En este cuadro de diálogo puede definir parámetros para un nuevo origen de eventos de Windows.

                                             
CaracterísticaDescripción
Básico
Alias*El dominio de Windows, conocido como alias, es el parámetro de configuración que Log Collector usa para agrupar orígenes de eventos. Estos grupos de tipos de orígenes de eventos (por ejemplo, domain2, domain3 y domain4) categorizan los orígenes de eventos que ha configurado.
Método de autorización*El método de autenticación. Los valores válidos son:
  • Básico (valor predeterminado)
  • Negociar: negocia la autenticación entre Kerberos y NTLM (Microsoft Windows NT LAN Manager). Por motivos de seguridad, Security Analytics es compatible exclusivamente con Kerberos.
ChannelLista separada por comas de canales desde los cuales Security Analytics recopila eventos. Sistema, Aplicación y Seguridad es el valor predeterminado para este parámetro. Consulte “Determinar el nombre del canal en el origen de eventos de Windows” en Paso 1. Configurar orígenes de eventos de Windows en Security Analytics para conocer los nombres de canal apropiados que se deben usar para definir este parámetro.
Puede utilizar paréntesis para incluir y excluir ID de evento.  El filtro de exclusión debe tener un carácter ^ entre el nombre del canal y el ID de evento. Los ID de evento se deben separar con un carácter |.  Por ejemplo, Application^(211|300), System(1010|1012) excluye los eventos Application 211 y 300 e incluye los eventos System 1010 y 1012.
Un canal es un flujo de eventos con nombre que los transporta desde un editor de eventos a un archivo de registro de eventos. Existen muchos canales de Windows predefinidos. Los siguientes son algunos ejemplos de esos canales:
Sistema: Aplicaciones que se ejecutan bajo cuentas de servicio del sistema (servicios del sistema instalados), drivers o un componente o aplicación que tiene eventos relacionados con el estado del sistema.
Aplicación: todas las aplicaciones de nivel de usuario. Este canal no es seguro y está abierto a cualquier aplicación. Si una aplicación tiene mucha información, es recomendable definir un canal de aplicación específico para ella.
Seguridad: el registro de auditoría de Windows (registro de eventos) que se usa exclusivamente para la Autoridad de seguridad local de Windows.
Consulte http://msdn.microsoft.com/en-us/subscriptions/aa385225 (v=vs.85).aspx para obtener información adicional sobre los canales de Windows.
Nombre de usuario *Nombre de usuario de origen de eventos. Para la autenticación negociada, debe ser el nombre del principal de Kerberos en el formato name@kerberosdomain. Por ejemplo,
logcollector@LAB30.LOCAL.
Contraseña *Contraseña de origen de eventos. La contraseña se cifra internamente y se muestra en su forma cifrada.
Leer todos los eventosSeleccione esta casilla de verificación para leer todos los datos de eventos históricos de un canal. Los valores válidos son:
  • Seleccionada: Log Collector recopila información de todos los datos de eventos históricos de un canal específico.
  • Deseleccionada (valor predeterminado): Log Collector no recopila información de todos los datos de eventos históricos de un canal específico.
Avanzado
Duración máxima de encuestaLa duración máxima del ciclo de sondeo (cuánto tiempo dura el ciclo) en segundos.
Máximo de eventos por cicloLa cantidad máxima de eventos por ciclo de sondeo (cuántos eventos se recopilan por ciclo de sondeo).
Intervalo de sondeoEl intervalo (cantidad de tiempo en segundos) entre cada encuesta. El valor predeterminado es 180.
Por ejemplo, si especifica 180, el recopilador programa un sondeo del origen de eventos cada 180 segundos. Si aún se está realizando el ciclo de sondeo anterior, esperará hasta que ese ciclo termine. Si está sondeando una gran cantidad de orígenes de eventos, es posible que el sondeo tarde más de 180 segundos en comenzar porque los subprocesos están ocupados.
Generar eventosSeleccione esta casilla de verificación para solicitar la generación de eventos desde el origen de eventos.
  • Seleccionada (valor predeterminado): Log Collector solicita los eventos generados desde el origen de eventos.
  • Deseleccionada: Log Collector no solicita los eventos generados desde el origen de eventos.
CancelarCierra el cuadro de diálogo sin agregar el origen de eventos de Windows.
OKAgrega los valores de los parámetros actuales como un nuevo origen de eventos.

Panel Hosts

El panel Hosts muestra una lista de hosts de orígenes de eventos de Windows existentes. Use esta sección para agregar o eliminar hosts de origen de eventos de Windows (es decir, la dirección del origen de eventos de Windows y los parámetros de comunicación asociados).

Barra de herramientas

En la siguiente tabla se proporcionan descripciones de las opciones de la barra de herramientas.

                      
OpciónDescripción
Icon-Add.pngMuestra el cuadro de diálogo Agregar host, en el cual puede definir los parámetros de un host para el origen de eventos que seleccionó en el panel Categorías de evento.
Icon_Delete_sm.pngElimina el host de origen de eventos seleccionado.
icon-edit.pngMuestra el cuadro de diálogo Editar host, en el cual se editan los parámetros del origen de eventos de Windows seleccionado.
Cuando se seleccionan varios orígenes de eventos, se abre el cuadro de diálogo Edición en masa de origen, en el cual puede editar los valores de los parámetros de los hosts seleccionados. 
Consulte Importar, exportar y editar orígenes de eventos de manera masiva en la Guía de configuración de la recopilación de registros para conocer los pasos detallados sobre cómo usar esta función.
ImportSourceIcon.PNGAbre el cuadro de diálogo Opción Adición en masa, en el cual puede importar orígenes de eventos masivamente desde un archivo con valores separados por coma (CSV).  El cuadro de diálogo Opción Adición en masa tiene las siguientes dos opciones.

Consulte Importar, exportar y editar orígenes de eventos de manera masiva en la Guía de configuración de la recopilación de registros para conocer los pasos detallados sobre cómo usar esta función.
ExportSourceIcon.PNGCrea un archivo .csv que contiene los parámetros de los orígenes de eventos seleccionados.
Consulte Importar, exportar y editar orígenes de eventos de manera masiva en la Guía de configuración de la recopilación de registros para conocer los pasos detallados sobre cómo usar esta función.
testConnection.PNGValida la Dirección de origen de evento para los hosts seleccionados.

Cuadro de diálogo Agregar host

En la siguiente tabla se proporcionan descripciones de las funciones del cuadro de diálogo Agregar host.

                                                        
ColumnaDescripción
Básico
Dirección de origen de evento*Dirección IP del origen de eventos. El valor válido es una dirección IPv4, una dirección IPv6 o un nombre de host que incluya un nombre de dominio calificado. Log Collector convierte el nombre de host en letras minúsculas para evitar que haya entradas duplicadas.
PuertoNúmero de puerto. Un número de puerto válido es cualquier número dentro del rango de 1 a 65535.
  • WinRM 2.0 (Vista y superior) usa los puertos 5985 para HTTP y 5986 para HTTPS como los puertos predeterminados.
  • WinRM 1.1 (Windows 2003) usa los puertos 80 para HTTP y 443 para HTTPS como los puertos predeterminados.
Modo de transportemodo de transporte [por ejemplo, http (valor predeterminado)]. Los modos de transporte válido son:
  • HTTP (valor predeterminado): conexión no segura
  • HTTPS: conexión segura
ActivadoSeleccione esta casilla de verificación para recopilar desde este origen de eventos. Si no selecciona esta casilla de verificación, Log Collector no recopila eventos desde este origen de eventos.
Nombre del certificadoNombre del certificado que se debe usar cuando el modo de transporte es HTTPS. Si está definido, el certificado debe existir en el área de almacenamiento de confianza de certificados. Los certificados se agregan al área de almacenamiento de confianza en el panel Certificados de la pestaña Configuración.
Avanzado
Depurar

Precaución: Habilite la depuración (defina este parámetro en Activado o Detallado) solamente si hay un problema en un origen de eventos y necesita investigarlo. La activación de la depuración afectará negativamente el rendimiento del Log Collector.

Activa o desactiva el registro de depuración del origen de eventos. Los valores válidos son:
  • Apagado = (predeterminado) desactivado
  • Encendido = activado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.
Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos. Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar). Limite la cantidad de orígenes de eventos para los que utiliza depuración Detallada para minimizar el impacto en el rendimiento.
Validar servidorSeleccione esta casilla de verificación para validar el Sujeto del certificado del servidor. El Sujeto del certificado del servidor debe coincidir con la dirección del origen de eventos.
Generar configuración regionalEspecifique la ubicación donde se reproducen los eventos.
Si no especifica un valor, el origen de eventos usa la configuración regional predeterminada. En la mayoría de los casos, la configuración regional predeterminada es en-US.  El origen de eventos omite una configuración regional no compatible y la suscripción falla si la configuración regional no es válida.
Tipo de Windows

(Configuración opcional) Indica si el origen de eventos configurado y desde el cual está recopilando es o no una controladora de dominio. Security Analytics usa este parámetro para determinar si debe o no enviar la información al procesador de eventos de identidad (IDEP).

Si no especifica este parámetro, todos los datos se envían al IDEP.

Los valores válidos son:

  • No está configurado: Se envían todos los datos al IDEP.
  • Controladora no de dominio: El origen de eventos configurado desde el cual está recopilando es una controladora no de dominio.
  • Controladora de dominio: El origen de eventos configurado desde el cual está recopilando es una controladora de dominio.
Resolver SIDResolver códigos de identificación del sistema (SID)
Seleccione esta casilla de verificación para resolver SID de cuenta en atributos pertinentes en los eventos recopilados en los nombres de cuenta. Esta casilla de verificación está seleccionada de manera predeterminada.
Intervalo de enumeración de SIDIntervalo, en segundos, en el cual cada origen de eventos enumera los SID de cuenta. El valor válido está en el rango de 0 a 86400. El valor predeterminado es 14400.
Tiempo de espera agotado de enumeración de SIDIngrese el tiempo, en segundos, para las operaciones de enumeración de SID. El valor válido está en el rango de 10 a 600. El valor predeterminado es 60.
Reemplazar canalesEste parámetro reemplaza al parámetro Canal del alias que configuró en el cuadro de diálogo Agregar origen para todos los hosts definidos para un alias de Windows (origen de eventos).  Si deja el parámetro en blanco, Security Analytics usa el parámetro Canal del alias.
Lista separada por comas de canales desde los cuales Security Analytics recopila eventos. Sistema, Aplicación y Seguridad es el valor predeterminado para este parámetro. Consulte “Determinar el nombre del canal en el origen de eventos de Windows” en Paso 1. Configurar orígenes de eventos de Windows en Security Analyticspara conocer los nombres de canal apropiados que se deben usar para definir este parámetro.
Puede utilizar paréntesis para incluir y excluir ID de evento.  El filtro de exclusión debe tener un carácter ^ entre el nombre del canal y el ID de evento. Los ID de evento se deben separar con un carácter |.  Por ejemplo, Application^(211|300), System(1010|1012) excluye los eventos Application 211 y 300 e incluye los eventos System 1010 y 1012.
Un canal es un flujo de eventos con nombre que los transporta desde un editor de eventos a un archivo de registro de eventos. Existen muchos canales de Windows predefinidos. Los siguientes son algunos ejemplos de esos canales:
Sistema: Aplicaciones que se ejecutan bajo cuentas de servicio del sistema (servicios del sistema instalados), drivers o un componente o aplicación que tiene eventos relacionados con el estado del sistema.
Aplicación: todas las aplicaciones de nivel de usuario. Este canal no es seguro y está abierto a cualquier aplicación. Si una aplicación tiene mucha información, es recomendable definir un canal de aplicación específico para ella.
Seguridad: el registro de auditoría de Windows (registro de eventos) que se usa exclusivamente para la Autoridad de seguridad local de Windows.
Probar conexiónValida la conexión a la dirección del origen de eventos.
CancelarCierra el cuadro de diálogo sin agregar el origen de eventos de Windows.
OKGuarda los parámetros actuales como un nuevo origen de eventos.
You are here
Table of Contents > Guía de configuración de la recopilación de Windows > Referencias: Parámetros de configuración de la recopilación de Windows > Parámetros de configuración del origen de eventos de Windows

Attachments

    Outcomes