El Visor de Eventos de Windows es un desconocido por muchos pero quienes lo conocemos a veces nos puede servir de gran ayuda a determinar algunos problemas en servidores Windows.
El Visor de Eventos nos permite determinar cierta actividad de nuestro servidor, notificaciones simples que solo informan y también errores importantes registrados en nuestro servidor. Todo lo que suceda en el servidor quedará registrado en el Visor de Eventos y luego podremos revisarlo para ver si había algún problema.
De esta forma podremos determinar si se ha reiniciado el servidor, si se ha apagado el servidor desde el mismo servidor y que usuario ejecutó esa orden o incluso revisar los accesos con un usuario determinado.
Iniciar el Visor de Eventos
Nos conectaremos por RDP a nuestro servidor y una vez iniciado.
Hacemos clic en Inicio y en el campo del buscador escribimos "Visor de eventos" o "Event Viewer" dependiendo si tu servidor está en castellano o en inglés.
O también, podemos pulsar Tecla de WIndows + R y escribir eventvwr en el diálogo que aparezca y le damos a Aceptar.
Las dos operaciones deberán de abrir el Visor de Eventos:
Tipos de registros en Windows
Una vez hemos accedido, verás que hay un menú lateral donde se ven cuatro carpetas. La carpeta que más nos interesa es la de Registros de Windows. Si la desplegamos, veremos que hay otras 5 más:
- Aplicación: Incluye los eventos generados por aplicaciones o programadas dentro del servidor Windows.
- Seguridad: Estos eventos están relacionados con las tareas, como los inicios de sesión, creación, edición o eliminación de archivos, entre otros.
- Instalación: Este evento registra todos los eventos relacionados con instalación de aplicaciones o Software dentro del servidor Windows.
- Sistema: Aquí encontraremos los eventos asociados a los componentes del servidor Windows.
- Eventos reenviados: Dentro de este grupo, tendremos los eventos registrados en equipos remotos.
Además, dentro de cada registro de Windows veremos que hay diferentes avisos de los cuales podemos determinar los siguientes:
- Error: Hace referencia a un problema dentro del servidor, ya sea a nivel de software o hardware.
- Advertencia: Es una señal de que alguna cosa no está funcionando como debería, aunque no es algo totalmente grave del sistema. Lo que es seguro es que hay que solucionar algo en el sistema.
- Información: Este mensaje indica que una aplicación está funcionando como debería.
Revisar un caso concreto
Vamos a poner un ejemplo para revisar los registros de Windows. En este caso revisaremos los intentos de acceso fallidos con el usuario diferente a administrator. Para ello tendremos que revisar el registro de Seguridad.
SI vamos a Registros de Windows > Seguridad podemos buscar entre los eventos disponibles. Podremos observar que en su mayoría tienen como ID del Evento es 4625, eso significa que un usuario ha intentado iniciar sesión pero o el usuario no existe o la contraseña no es correcta:
SI nos fijamos en la imagen de abajo, veremos que seleccionando un evento podremos observar que aparece el siguiente texto:
Cuenta con error de inicio de sesión:
Id. de seguridad: NULL SID
Nombre de cuenta: cloudingtutos
Dominio de cuenta: Información de error:
Motivo del error: Nombre de usuario desconocido o contraseña incorrecta
Estado: 0xC000006D
Subestado: 0xC0000064
Hemos intentado acceder al servidor con el usuario cloudingtutos, que no existe en el sistema y nos aparece el error.
ID de eventos importantes o a tener en cuenta
A continuación os mostramos los siguientes ID importantes para saber el significado de cada uno:
ID DEL EVENTO | SIGNIFICADO | ID DEL EVENTO | SIGNIFICADO |
4624 | Inicio correcto de sesión. | 4801 | El equipo ha sido desbloqueado. |
4625 | Fallo en el inicio de sesión. | 513 | Windows se está apagando. |
552 | Intento de inicio de sesión usando credenciales explicitas. | 4616 | La hora del sistema ha sido modificada. |
529 | Nombre de usuario desconocido o contraseña inválida. | 5024 | El servicio de Firewall ha iniciado correctamente. |
532 | La cuenta ha expirado. | 5025 | El servicio de Firewall ha sido detenido. |
4800 | El equipo ha sido bloqueado. | 602 | Se ha creado una tarea. |
Revisar quién ha reiniciado el servidor
Para ver quién o que reinició tu servidor, lo que podemos hacer es revisar el registro Registro de Windows > Sistema hacemos clic con el botón derecho y Filtrar registro actual...
Allí en Orígenes del Evento marcaremos la opción User32 y en el cuadro para incluir los ID del evento añadimos 1074:
Hacemos clic en Aceptar y nos habrá filtrado los reinicios en el sistema. Hacemos clic sobre el primer evento -o el evento de la hora que tengamos que revisar- y observamos que se ha reiniciado el servidor por el usuario Administrator:
Si no aparece ningún reinicio por un usuario, podemos revisar si hubo algún problema en el sistema filtrando por el ID del Evento 6008:
Y tras filtrar por 6008, veremos los eventos con nivel de Error donde veremos que el sistema se apagó/reinició por algún problema: