Haga clic aquí para expandir

Configuración de informes de registro de eventos de Windows

EventLog Analyzer viene empaquetado con más de 1,000 informes predefinidos que ayudan a las organizaciones a ver eventos de seguridad consolidados, realizar auditorías de seguridad y cumplir con varios requisitos de cumplimiento. Estos informes ayudan a las organizaciones a visualizar eventos de seguridad en su red y a cumplir con varios requisitos de seguridad y cumplimiento.

En este documento de ayuda, aprenderá a configurar la generación de informes de Windows.

Configurar la generación de informes de Windows

En EventLog Analyzer, la mayoría de los informes de Windows se generan automáticamente cuando se agrega el dispositivo para el monitoreo y se configura la fuente del evento. Para saber cómo agregar un dispositivo, consulte esta página . Para aprender a configurar un origen de eventos, consulte la sección ¿Cómo configurar archivos de origen de eventos en un dispositivo? sección en esta página .

Hay ciertos informes, mencionados en la siguiente tabla, que requerirán la creación manual de claves en su Registro de Windows. Para configurar la generación de estos informes, siga los pasos que se indican a continuación.

  • Asegúrese de que el registro de eventos se haya habilitado haciendo clic con el botón derecho en la fuente del evento> Propiedades > marcando la casilla Habilitar registro , en el Visor de eventos .
  • Abra el Editor del registro y navegue hasta HKEY_LOCAL_MACHINE> SISTEMA> CurrentControlSet> Servicio> EventLog . Aquí, cree las claves dadas en la columna Nuevas claves de la tabla a continuación.
  • A continuación, abra el Editor de políticas de grupo local y vaya a Configuración del equipo> Configuración de Windows> Configuración de seguridad . En la columna Políticas de auditoría se proporcionan más rutas y pasos para permitir la generación de informes .
Informes Nuevas llaves Políticas de auditoría Otros requisitos previos
Informes de lista blanca de aplicaciones Microsoft-Windows-AppLocker / EXEandDLL Microsoft-Windows-AppLocker / MSI y Script Habilite AppLocker en las políticas de control de aplicaciones
  • Inicie el servicio Identidad de la aplicación .
  • Al crear las dos nuevas claves, se creará una fuente de eventos Microsoft-Windows-AppLocker / EXEandDLL en el panel izquierdo. Haga clic con el botón derecho en la fuente del evento, haga clic en Propiedades y copie la ruta del registro .
  • Luego navegue a Computer \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WINEVT \ Channels \ Microsoft-Windows-AppLocker / EXE y DLL , y cree un valor de cadena expandible con el nombre File . Utilice la ruta de registro copiada del paso anterior como datos de valor .
  • Configure las reglas ejecutables, las reglas de Windows Installer y las reglas de script en las políticas de auditoría mencionadas.
  • Reinicie la máquina.
Informes de auditoría de Firewall de Windows Firewall de Microsoft-Windows-Windows con seguridad avanzada / firewall Habilite Audit MPSSVC Rule - Level Policy change , en Advanced Audit Policy Configuration> Policy Change .  
Auditoría de disco extraíble Microsoft-Windows-DriverFrameworks-UserMode / Operational Habilite Audit Handle Manipulation y Audit Removable Storage , en Advanced Audit Policy Configuration> Object Access . Configure SACL para el disco extraíble haciendo clic con el botón derecho en la carpeta requerida y navegando a Propiedad> pestaña Seguridad> Avanzado> Auditoría .
Cambios en el registro   Habilite el Registro de auditoría , en Configuración avanzada de la política de auditoría> Acceso a objetos . Configure SACL para la clave de registro haciendo clic con el botón derecho en el registro requerido y navegando a Permiso> Avanzado> Auditoría en el Editor del Registro .
Informes de copia de seguridad y restauración de Windows Copia de seguridad de Microsoft-Windows No se requiere modificación.  
Eventos del sistema de Windows Microsoft-Windows-GroupPolicy / Operational Microsoft-Windows-NetworkProfile / Operational Microsoft-Windows-WindowsUpdateClient / Operational Microsoft-Windows-Winlogon / Operational Microsoft-Windows-WLAN-AutoConfig / Operational Microsoft-Windows-TerminalServices-Gateway / Operational Microsoft-Windows- TerminalServices-RDPClient / Operational Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational Microsoft-Windows-Wired-AutoConfig / Operational No se requiere modificación.  
Eventos del servidor Hyper-V Informes de administración de VM Hyper-V Microsoft-Windows-Hyper-V-Worker-Admin Microsoft-Windows-Hyper-V-VMMS-Storage Microsoft-Windows-Hyper-V-VMMS-Networking Microsoft-Windows-Hyper-V-VMMS-Admin Microsoft-Windows-Hyper- V-Hypervisor-Operational No se requiere modificación.  
Informes de inventario del programa Microsoft-Windows-Application-Experience / Program-Inventory No se requiere modificación.  
IIS Microsoft-IIS-Configuration / Operational No se requiere modificación. Para acceder a los informes de IIS, abra EventLog Analyzer y vaya a Informes> Servidor web IIS W3C> Informes de configuración de administrador de IIS .
Servicio de impresión Microsoft-Windows-PrintService / Operational, Microsoft-Windows-PrintService / Admin No se requiere modificación.  
Terminal Microsoft-Windows-TerminalServices-Gateway / Operacional No se requiere modificación.  

EventLog Analyzer ahora comenzará a generar los informes mencionados en la tabla.

Obtener enlace de descarga