¿Cómo ver el registro de un equipo remoto?

Acceso al visor de eventos remoto denegado

Si un usuario apaga su ordenador, Windows no tiene la oportunidad de registrar el evento de cierre de sesión hasta que el sistema se reinicia. Por lo tanto, algunos eventos de cierre de sesión se registran mucho más tarde del momento en que realmente ocurren. Los inicios de sesión anónimos son eventos rutinarios en las redes de Windows.

Logcat es una herramienta de línea de comandos que vuelca un registro de los mensajes del sistema, incluyendo las trazas de pila cuando el dispositivo lanza un error y los mensajes que has escrito desde tu aplicación con la clase Log. Esta página es sobre la herramienta de línea de comandos Logcat, pero también puedes ver los mensajes de registro desde la ventana Logcat en Android Studio.

Escuche esto en voz altaPausaDentro del Visor de Eventos, navegue hasta cada registro: Sistema: Expanda los registros de Windows; Sistema aparecerá debajo. Filtre el registro para las entradas de red (por ejemplo, para la fuente “Diagnósticos-Red”, o IDs de eventos específicos que se aplican a la tecnología inalámbrica, 802.1x, WPA2). Puede buscar los ID de eventos de red en línea.

Escuche esto en voz altaPausaInicie Microsoft Management Console (mmc.exe) con permisos elevados (ejecute como Administrador) en su sistema local. Seleccione el Snap-In para la función que desea gestionar en el dispositivo remoto.

Registros del servidor de terminales

En este artículo echaremos un vistazo a las características de la auditoría de conexiones del Protocolo de Escritorio Remoto (RDP) y el análisis de registros en Windows. Normalmente, es útil cuando se investigan diversos incidentes en los servidores de Windows, cuando se requiere que el administrador del sistema proporcione información sobre qué usuarios se conectaron al servidor, cuándo se conectaron y cuándo se desconectaron, y desde qué dispositivo (nombre o dirección IP) se conectó el usuario RDP.

Al igual que otros eventos, los registros de conexión RDP de Windows se almacenan en los registros de eventos. Los registros de Windows contienen mucha información, pero puede ser difícil encontrar el evento correcto rápidamente. Cuando un usuario se conecta remotamente a un servidor Windows, se generan muchos eventos en los registros de Windows. Vamos a echar un vistazo a los siguientes:

La conexión de red conecta el cliente RDP del usuario con el servidor Windows. Eso registra el EventID – 1149 (Servicios de Escritorio Remoto: Autenticación de usuario exitosa). La presencia de este evento no indica que la autenticación del usuario haya sido exitosa. Este registro se puede encontrar en Aplicaciones y Servicios Logs ⇒ Microsoft ⇒ Windows ⇒ Terminal-Services-RemoteConnectionManager ⇒ Operational. Puede filtrar este registro haciendo clic con el botón derecho en Operational log ⇒ Seleccionando “Filter Current Log” y escribiendo EventID 1149.

Ubicación del archivo de registro del sistema de Windows 10

Al principio de mi carrera en el DFIR, luché con la comprensión de cómo identificar y entender exactamente todos los registros de eventos de Windows relacionados con RDP. Leía algunas cosas aquí y allá, pensaba que lo había entendido, y luego pasaba al siguiente caso – repitiendo el mismo bucle una y otra vez y nunca adquiriendo realmente una comprensión completa. Hasta que un día me cansé de repetir las mismas preguntas/investigaciones e hice una hoja de trucos con los identificadores de eventos más comunes relacionados con el RDP que había encontrado, junto con su relevancia y descripciones. A partir de ese momento, cuando esporádicamente me encontraba con preguntas/confusiones relacionadas de otros miembros de la comunidad, simplemente me refería a mi hoja de trucos para proporcionar una respuesta o aclaración inmediata – ahorrándoles las horas de preguntas repetidas e investigación que ya había hecho.

Sin embargo, parece que la comunidad sigue encontrando la misma lucha en la identificación y la comprensión de los ID del registro de eventos de Windows relacionados con RDP, donde se encuentra cada uno, e incluso lo que algunos de ellos significan (no gracias a la documentación y descripciones muy confusas de Microsoft). Como tal, recientemente me propuse tratar de encontrar una ruta fácil a la solución de este problema (es decir, espero encontrar un único sitio web para apuntar a toda esta información). Aunque he encontrado partes de la respuesta en posts aquí y allá, a cada uno de ellos le faltaban partes del rompecabezas (o bien faltaban identificaciones, descripciones, explicaciones, y/o en general cómo encajaban de forma cronológica). Diré que JPCERTCC ha hecho un trabajo impresionante capturando una tonelada de información aquí, sólo que no puedo descifrar o discernir el orden claro de los eventos y algunos aparecen fuera de orden (al menos como los he encontrado, pero tal vez estoy leyendo mal…). En cualquier caso, como se dice, la necesidad es la madre de la invención.

Acceso remoto al registro de eventos de Windows

Los sistemas operativos Windows (Windows XP y posteriores) proporcionan una herramienta de línea de comandos integrada para comprobar los registros de eventos en ordenadores remotos. EventyQuery.VBS viene con Windows. Para más información sobre EventQuery.VBS y sus sintaxis, por favor, consulte la siguiente URL:

Nirmal Sharma es un MCSEx3, MCITP y fue galardonado con el premio Microsoft MVP en Servicios de Directorio y Redes de Windows. Está especializado en Microsoft Azure, Office 365, Servicios de Directorio, Failover Clusters, Hyper-V, PowerShell Scripting y productos de System Center. Nirmal ha estado involucrado con las tecnologías de Microsoft desde 1994. En su tiempo libre, le gusta ayudar a otros y compartir algunos de sus conocimientos escribiendo consejos y artículos en varios sitios.

Santiago Paez