Ingenieria Dric - Monitoring Windows Event Logs Using OpManager

Monitoreando Windows Event Logs utilizando OpManager

Los event logs (bitácoras) de Windows son archivos que sirven como marcadores de posición para todas las ocurrencias que pudiesen pasar en una máquina de Windows. Esto incluye bitácoras para ocurrencias en específico en el sistema, en una aplicación o en el sistema operativo. Sea un intento fallido de inicio de sesión, una “hackeo”, una falla en alguna aplicación o una falla en el sistema – todos esos acontecimientos son “logeados” aquí, ayudando a corregir fallas y también a monitorear el estado del sistema. Todos los eventos de Windows incluyen información del incidente como hora del evento, fuente del evento, tipo de falla y un ID único para el tipo de evento. Las bitácoras de eventos contienen una riqueza de información, la cual ayuda al administrador a resolver problemas y a administrar el sistema. La utilidad de Visor de Eventos en los dispositivos de Windows ayuda a visualizar todos los eventos en una computadora en específico.

¿Por qué los Event Logs deben de ser monitoreados?

La prevención es mejor que la cura ¡Esto aplica perfectamente para el monitoreo de las redes también! En esta era del Internet, en donde los “hackeos” están a la orden del día, ser un administrador proactivo e inteligente es un deber. Asegurar la información de las redes, asegurar la integridad de los datos, asegurar un 100% de tiempo de actividad de los servicios importantes, etc., todas estas tareas son críticas para los negocios. Hacer “malabares” con múltiples herramientas para resolver distintas necesidades de monitoreo solamente recae en estrés. Déjenos considerar las siguientes dos posibilidades:

1. Respaldo Diario

Respaldar periódicamente los datos de sus redes es el primer paso para una recuperación ante un posible desastre. Asumiendo que por ejemplo usted tiene una aplicación como Veritas haciendo el respaldado de la información por usted. Asegurar un respaldado sencillo es una tarea crítica, especialmente, en los ambientes en donde usted alberga datos importantes de sus clientes. Requiere de un poco de imaginación decir lo que pudiese pasar si el respaldado falla y ¡usted solamente lo puede recuperar hasta la mañana siguiente!

2. Servicio Firewall ISA

El objetivo de habilitar un firewall para la seguridad se convierte en una pérdida de esfuerzo cuando el servicio del firewall cae o es incapaz de iniciar y usted lo descubre horas después. Ningún administrador desearía fallar en asegurar todos estos aspectos. Una alerta rápida vía SMS o email, o una ventana emergente en su máquina para cualquier falla en el firewall ISA ahorraría mucho tiempo. Monitorear bitácoras específicas identificadas con IDs resolvería de una manera sencilla todos estos problemas.

¡Una bitácora es la primera llamada pidiendo ayuda! Naturalmente, como administrador, la responsabilidad de cuidar los llamados de ayuda recae en usted y además necesita elegir y poner en marcha una solución conveniente para rastrear los eventos importantes. Ambas de las situaciones de arriba pudieron ser evitadas, o al menos, remediadas a tiempo por medio del monitoreo que pudo haber sido realizado con anterioridad para evitar estas fallas en el respaldo.

El Visor de Eventos de Windows proporciona una cuenta completa de los eventos, el problema sin embargo es la falta de una vista centralizada de estos eventos para un número “n” de máquinas. Aun más, un gran número de bitácoras es “información” de los eventos y puede ser descuidadamente ignorada. Automatizar el monitoreo de las bitácoras importantes es el siguiente paso lógico y por lo tanto requiere de una herramienta de monitoreo efectiva. Dicho esto, permítanos ver como OpManager le ayuda a alcanzar todo esto además de monitorear todos sus otros recursos de red.

OpManager – El Ángel Guardían

Nosotros entendemos la importancia de un monitoreo simple y centralizado. No puede haber algo más “cool” que una aplicación inteligentemente filtrando las bitácoras de eventos importantes y notificando periódicamente ¡Esto claro, aparte del monitoreo de dispositivos, aplicaciones o otros recursos de hardware!

OpManager provee un conjunto de más o menos 50 reglas para las bitácoras pre-definidas. Además, usted puede configurar el número de reglas que usted necesite para resolver sus necesidades de monitoreo de bitácoras y asignarles un grado de severidad adecuado. Las reglas por omisión pueden ser modificadas o removidas también. Basado en estas reglas, los eventos son convertidos en alarmas de OpManager y usted puede permanecer notificado también utilizando su email o incluso alarmas vía SMS ¡La habilidad de definir reglas basadas en cualquiera de las propiedades de las bitácoras de Windows claramente es una expectativa extra!

OpManager actúa como el ángel guardián para sus redes manteniendo un seguimiento de las bitácoras de eventos importantes de todo el ambiente de Windows como se mencionó arriba. Por ejemplo, un usuario que tenga acceso restringido a ciertas máquinas y que esté intentando acceder a un dispositivo de red en cualquiera de estas máquinas, ya es causa de una preocupación por la seguridad. Una falla de auditoría de eventos es activada en la bitácora de eventos y usted verá el evento enlistado en la categoría de eventos de seguridad. Con solo un par de clics, usted será capaz de configurar este monitoreo de bitácoras de fallas en la auditoría de las bitácoras para todas sus máquinas Windows. Cuando ocurre un evento de seguridad de esta naturaleza, OpManager genera una alarma coherente correspondiente y también notifica de inmediato vía SMS o email.

Es casi imposible para un administrador mantener un seguimiento de las brechas de seguridad en cada una de las bitácoras de eventos de sus máquinas. La vida es más sencilla cuando el administrador puede visualizar todos los problemas desde una sola consola centralizada. Todo esto es posible si OpManager es desplegado en sus redes.

Algunos eventos de Windows típicos que necesitan ser monitoreados

Eventos de Seguridad

Ocasionalmente, asegurar las redes de los usuarios internos se convierte en una tarea gigantesca. Los usuarios restringidos de ingresar a los servidores críticos intentando iniciar sesión en ellos. “Hackers” intentando entrometerse con los servicios de auditoría para que los intentos de inicio de sesión no sean rastreados. Para todos estos eventos se mantiene una bitácora de seguridad.

Eventos de Aplicaciones

Cualquier falla en las aplicaciones genera un evento. Los servicios altamente críticos como el Directorio Activo, sus servicios relacionados, fallas en los servicios críticos de arranque como ISA, una mayor cantidad de usuarios tratando de ingresar a una aplicación, recursos insuficientes del sistema para que una aplicación se ejecute, etc., todos estos aspectos requieren un monitoreo permanente. Todo esto ya mencionado es crítico para los negocios y podrían provocar costos extras innecesarios si no es atendido. Usted encontrará bitácoras para todo esto.

Eventos de Sistemas

El estado de un sistema necesita ser óptimo para poder servir a las aplicaciones importantes. Cualquier falla en el sistema necesita ser monitoreada. Podría ser un disco duro dañado, justo en el momento en el cual un usuario desee reemplazar un archivo del sistema. De nueva cuenta, la primera pista para hallar esta falla proviene de las bitácoras de eventos.

Servidor DNS

El Directorio Activo depende extensivamente de la disponibilidad del servicio DNS. Sobra decir que esto necesita ser monitoreado. Los Controladores de Dominio tienen una categoría específica para archivar los eventos del sistema específicamente del DNS.

Servidor de Replicación de Archivos

Este servicio es el responsable de la replicación de los datos a lo largo de los Controladores de Dominio. Una falla en este servicio llevaría a problemas más graves como el inicio de sesión de los usuarios. Por lo tanto, esto también requiere de un monitoreo. Como para el DNS, una categoría por separado es provista para FRS también para una resolución de problemas más rápida. OpManager monitorea las bitácoras de eventos en todas las categorías ya mencionadas arriba y por supuesto, ¡usted puede definir sus propias reglas para estas bitácoras! A continuación algunas capturas de pantalla que muestran lo que OpManager puede hacer por usted:

Vista separada para visualizar las bitácoras de eventos de Windows:

Bitácoras de Eventos procesadas para convertirlas en Alarmas de OpManager:

Reglas intuitivas predefinidas para las bitácoras de eventos:

Notificando una bitácora a través de un email o un SMS:

Seleccionando las reglas para las cuales las notificaciones deben ser enviadas:

Nosotros recomendamos un monitoreo para las siguientes bitácoras.

Categoría	IDs de los Eventos
Seguridad	564 – Falla en la eliminación de un objeto debido a permisos restringidos 536 – NetLogon inactivo o no disponible para este usuario 537 – Error Desconocido/Inesperado 513 – Servidor Apagándose
Aplicación	11000 – Falla en el Servicio ISA 17052 – Memoria insuficiente disponible para MS SQL 5774, 5775, 5781, 5783, 5805 – Eventos del servicio NetLogon 40960, 40961 – Eventos del servicio LDAP
Sistema	6401 – Reemplazo de archivo del sistema 7 – Disco: Sector malo detectado 4202 – Adaptador de red desconectado
Servidor DNS	6004 – Mala Transferencia de una Zona DNS 4016 – Servidor DNS en tiempo de espera 6527 – Zona DNS ha sido apagada
Servidor de Replicación de Archivos	13508, 13509, 13511, 13522, 13526

Resumen

OpManager es una solución completa de monitoreo la cuál realiza un monitoreo de todos los recursos en sus redes e incluye capacidades extensivas de monitoreo de bitácoras de eventos de Windows. ¡Administrar estas bitácoras centralizadamente puede ser una tarea no muy fácil!

<< Inicio de Opmanager

Joomla SEF URLs by Artio