El Visor d'Esdeveniments de Windows és un desconegut per a molts, però per a aquells que el coneixem, de vegades ens pot ser de gran ajuda per determinar alguns problemes en servidors Windows.
El Visor d'Esdeveniments ens permet determinar certa activitat del nostre servidor, notificacions simples que només informen i també errors importants registrats al nostre servidor. Tot el que passi al servidor quedarà registrat al Visor d'Esdeveniments i després podrem revisar-ho per veure si hi havia algun problema.
D'aquesta manera podrem determinar si s'ha reiniciat el servidor, si s'ha apagat des del mateix servidor i quin usuari va executar aquesta ordre o, fins i tot, revisar els accessos amb un usuari determinat.
Iniciar el Visor d'Esdeveniments
Ens connectarem per RDP al nostre servidor i un cop iniciat fem clic a Inicio i al camp de cerca escrivim "Visor de eventos" o "Event Viewer" depenent si el teu servidor està en castellà o en anglès.
O també, podem prémer la Tecla de Windows + R i escriure eventvwr en el diàleg que aparegui i premem Aceptar.
Les dues operacions haurien d'obrir el Visor de Eventos:
Tipus de registres a Windows
Un cop hi hem accedit, veuràs que hi ha un menú lateral on es veuen quatre carpetes. La carpeta que més ens interessa és la de Registros de Windows. Si la despleguem, veurem que n'hi ha 5 més:
- Aplicación: Inclou els esdeveniments generats per aplicacions o programes dins del servidor Windows.
- Seguridad: Aquests esdeveniments estan relacionats amb les tasques, com els inicis de sessió, la creació, l'edició o l'eliminació de fitxers, entre d'altres.
- Instalación: Aquest registre conté tots els esdeveniments relacionats amb la instal·lació d'aplicacions o programari dins del servidor Windows.
- Sistema: Aquí trobarem els esdeveniments associats als components del servidor Windows.
- Eventos reenviados: Dins d'aquest grup, tindrem els esdeveniments registrats en equips remots.
A més, dins de cada registre de Windows veurem que hi ha diferents avisos dels quals podem distingir els següents:
- Error: Fa referència a un problema dins del servidor, ja sigui a nivell de programari o de maquinari.
- Advertencia: És un senyal que alguna cosa no està funcionant com hauria, encara que no és un problema greu del sistema. El que és segur és que cal solucionar alguna cosa al sistema.
- Información: Aquest missatge indica que una aplicació està funcionant correctament.
Revisar un cas concret
Posarem un exemple per revisar els registres de Windows. En aquest cas, revisarem els intents d'accés fallits amb un usuari diferent d'administrator. Per a això haurem de revisar el registre de Seguridad.
Si anem a Registros de Windows > Seguridad podem buscar entre els esdeveniments disponibles. Podrem observar que la majoria tenen com a ID del Evento el 4625, això significa que un usuari ha intentat iniciar sessió però o l'usuari no existeix o la contrasenya no és correcta:
SI ens fixem en la imatge de sota, veurem que seleccionant un esdeveniment podrem observar que apareix el següent text:
Cuenta con error de inicio de sesión:
Id. de seguridad: NULL SID
Nombre de cuenta: cloudingtutos
Dominio de cuenta: Información de error:
Motivo del error: Nombre de usuario desconocido o contraseña incorrecta
Estado: 0xC000006D
Subestado: 0xC0000064
Hem intentat accedir al servidor amb l'usuari cloudingtutos, que no existeix en el sistema i nos aparece el error.
ID d'esdeveniments importants o a tenir en compte
A continuació us mostrem els següents ID importants per saber el significat de cadascun:
| ID EVENT | SIGNIFICAT | ID EVENT | SIGNIFICAT |
| 4624 | Inici de sessió correcte. | 4801 | L'equip ha estat desbloquejat. |
| 4625 | Error en l'inici de sessió. | 513 | Windows s'està apagant. |
| 552 | Intent d'inici de sessió usant credencials explícites. | 4616 | L'hora del sistema ha estat modificada. |
| 529 | Nom d'usuari desconegut o contrasenya invàlida. | 5024 | El servei de Firewall s'ha iniciat correctament. |
| 532 | El compte ha expirat. | 5025 | El servei de Firewall ha estat aturat. |
| 4800 | L'equip ha estat bloquejat. | 602 | S'ha creat una tasca. |
Revisar qui ha reiniciat el servidor
Per veure qui o què va reiniciar el teu servidor, el que podem fer és anar al registre Registro de Windows > Sistema, fem clic amb el botó dret i seleccionem Filtrar registro actual...
Allà, a Orígenes del Evento marcarem la opció User32 i en el quadre per incloure els ID del evento hi afegim 1074:
Fem clic a Aceptar i ens haurà filtrat els reinicis del sistema. Fem clic sobre el primer esdeveniment -o el esdeveniment de la hora que tinguem que revisar- i observem que s'ha reiniciat el servidor per l'usuari Administrator:
Si no apareix cap reinici per part d'un usuari, podem revisar si hi va haver algun problema en el sistema filtrant per l'ID del Evento 6008:
I després de filtrar per 6008, veurem els esdeveniments amb nivell d'Error on s'indica que el sistema es va apagar/reiniciar per algun problema: