miércoles, 1 de julio de 2009

La Auditoría Centralizada está aquí y ¡es Gratis!

Discutiendo la Auditoría Centralizada, enfocado en los requerimientos fundamentales y principales ventajas.

Introducción

"¿Cómo centralizo los registros generados en el Visor de Sucesos de las distintas computadoras?". Con el lanzamiento de Windows 2008 y Windows Vista, es posible el registro centralizado de eventos. Antes que deje de leer este artículo porque no tiene Windows 2008 o Vista instalado, por favor ¡siga leyendo!
Microsoft ha diseñado el registro centralizado para reportar a un equipo con Windows 2008 o Windows Vista pero también lo ha hecho compatible con versiones anteriores para Windows 2003 o clientes Windows XP.
Es así, en tanto uno tenga un equipo con Windows 2008 Server ó Windows Vista, uno puede tener registro centralizado de sus computadoras Windows.

Requisitos y Configuración para el Equipo de Registro Centralizado

Cualquier equipo con Windows 2008 Server o Windows Vista puede convertirse en su equipo de registro centralizado. Esto quiere decir que todos los registros que configure en sus equipos con Windows 2008 Server, Windows 2003 Server, Windows Vista o Windows XP serán enviados a este equipo centralizado de registros donde queden registrados todos los eventos clave.
Si quiere que su equipo Windows 2008 Server o Vista contengan el registro centralizado, no es mucho lo que se necesita hacer. Sin embargo, necesita configurar el equipo para que soporte el registro; puede hacerlo ejecutando unos pocos comandos desde una linea de comandos con los privilegios elevados.

Nota:La linea de comandos debe elevarse cuando está habilitado el UAC (User Account Control).
El primer comando que debe ejecutar configurará la Administración Remota (Remote Management) en el equipo. Es el comando siguiente:

winrm qc

Este comando generará una respuesta informándole que se deben realizar ciertas tareas en el sistema, sólo debe confirmar con “Yes” que uno desea que se realicen.
Nota:Si utiliza el parámetro –q al final de su comando, el comando y las acciones se realizarán automáticamente y de forma silenciosa.

Configurando la administración remota en un equipo Windows Vista

Después de ingresar Y para realizar los cambios, aparecerán instantáneamente los resultados indicando que las acciones fueron exitosas.

El segundo comando configurará el servicio Recolector de Eventos (Event Collector service):
wecutil qc /q

Nuevamente, recibirá confirmación que la acción fue exitosa.

Requisitos y Configuración para el Equipo de Registro Centralizado

Si usa Windows 2008 Server o Windows Vista como su equipo origen, entonces sólo necesita ejecutar un comando para tener preparado el equipo para reenviar al equipo de registro centralizado. Es el mismo comando que usó para conseguir que el equipo centralizado tenga la administración remota configurada correctamente:

winrm qc –q

Si está usando Windows Server 2003 o XP, necesitará descargar e instalar la parte de Reenvío de la administración remota para estos sistemas operativos.

Nota:Debe tener SP1 para Windows Server 2003 y SP2 para Windows XP instalados antes de configurar correctamente el reenvío.

Puede descargarlo aquí. Después de la instalación, ejecute la el mismo comando e configuración de administración remota:
winrm qc –q
Nota:Debe tener credenciales administrativas para realizar esta configuración.
Puede verificar que la configuración funcionó abriendo el Visor de Eventos. Cuando este está abierto, verá un nuevo nodo llamado Microsoft-Windows-Forwarding/Operational


Configurando una Suscripción

La configuración de suscripciones se realiza en equipo de registros centralizados. Para estos pasos, necesitará configurar lo siguiente:

  • Nombre de equipo del cual quiere recolectar información
    Tipo de Evento (crítico, error, advertencia, etc.)
    Por registro (Sistema, aplicación, etc)
    Por orígen (Lista enorme de opciones!)
    ID(s) de Evento/s (típicamente no querrá recolectarlos todos, así que lístelos separando los números con coma)
    Palabras clave
    Usuario o Equipo

Nota:No se requieren todos los mencionados, ¡son todas las opciones disponibles!
Su primer paso es determinar de que equipo quiere recolectar información. Esto se hace con clic derecho sobre el nodo de Suscripciones en el Visor de Eventos, luego seleccionando Crear Suscripción. En el cuadro de Propiedades de la Suscripción, seleccione el botón Seleccionar equipos.

Dentro del cuadro de selección de equipo, se pueden "Agregar Computadoras del Dominio" a la lista de equipos de los que se desean recolectar eventos. Esto es útil, ya que así uno puede crear una suscripción para recolectar eventos similares de muchos equipos definiendo sólo un conjunto de eventos. También tiene una opción de Prueba, para asegurarse que el equipo centralizado pueda ver a los equipos remotos de donde recolectaran los eventos.

Después de configurar los equipos de los cuales se desea recolectar eventos, solo se necesita configurar los eventos y detalles de lo que se quiere recolectar.
Cada suscripción le permite ser muy detallado en lo que se desea recolectar

Después de configurar cuales eventos desea recolectar, basado en la miríada de opciones que tiene disponibles, solo necesita esperar a que recolecten los eventos en los equipos de origen y se envíen al equipo de registro centralizado.

Ver los Eventos Recolectados

Para ver los eventos recolectados en su equipo centralizado, solo necesita ir al Visor de Eventos. Allí verá un nodo debajo de los registros de Windows denominado Eventos reenviados. El equipo origen está configurado para enviar todos los eventos a esta ubicación. Por supuesto uno puede configurar Vistas Personalizadas para separar u organizar sus eventos en otros registros personalizados (lo cual podría ser beneficioso si está recolectando de muchos equipos y distintos tipos de eventos). La figura 6 ilustra un conjunto ejemplo de eventos que están siendo recolectados desde un equipo Windows XP en un equipo Windows 2008 Server.
Figura 6: Eventos recolectados por un Windows XP y enviados a un equipos de registro centralizado Windows Server 2008

Resúmen

Microsoft vino al rescate si usted es responsable por administrar y revisar los registros de eventos. Hay una nueva tecnología en Windows 2008 Server y Windows Vista que le permite crear un equipo de registros centralizados. Una vez configurado ese equipo, solo necesita iniciar el componente de Administración Remota en su equipo origen. El equipo origen puede ser Windows XP SP2, Windows Server 2003 SP1, Windows Vista, o Windows Server 2008.Las suscripciones son configuradas en el el equipo de registros centralizados. Todo lo que debe hacer es establecer de cuales equipos desea recolectar, y que tipo de eventos desea obtener. Con respecto a los demás equipos, solo revise en el Visor de Eventos del equipo de registros centralizados para ver eventos de la red mientras que les presta servicio.

Autor: Derek Melber

Mas informacion :

http://blog.segu-info.com.ar/2009/06/la-auditoria-centralizada-esta-aqui-y.html
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)