Crear alertas para eventos del sistema Windows

Manuel Fernandez — Tue, 17 Nov 2009 08:28:00 GMT

Cualquier administrador de sistemas Windows necesita estar al tanto de que es lo que está ocurriendo en sus sistemas, y que es lo que ha ocurrido. Para este propósito se creó la consola de ‘Event Viewer’, la cual permite al administrador poder visualizar de una forma rápida y sencilla los logs del sistema ordenados en 5 categorias: ‘Application’, ‘Security’, ‘Setup’, ‘System’ y ‘Forwarded Events’.

Sin embargo, no siempre se dispone del tiempo necesario para revisar todos los logs, más aun si no hay motivos aparentes por los que realizar dicha revisión.

Por ello, desde Windows Vista en adelante se incorporó una nueva característica que permite asociar una tarea programada a un determinado evento. Esto se puede realizar de dos modos distintos, uno de ellos es localizando el evento en la consola de ‘Event Viewer’ (eventvwr.msc) y el otro es a través de la consola de tareas (taskschd.msc). En éste articulo crearemos dos avisos, cada uno de ellos de un método distinto.

Por medio del ‘Event Viewer’, únicamente habría que desplegar el árbol de eventos y hacer clic derecho sobre el cual quieres asignarle una tarea, como se indica en la siguiente captura.

Event Viewer

Una vez elegido el evento, debemos asociarlo con una determinada acción, permitiéndonos seleccionar la ejecución de un programa, el envío de un e-mail, o mostrar un mensaje de alerta en la sesión de usuario. En éste ejemplo lo configuraremos para recibir una alerta por medio de un correo electrónico.

Acción a realizar de la tarea

Configuración de la acción

Ahora crearemos otra alerta desde la consola de tareas (taskschd.msc). Para ello, abrir ésta consola y desplegar hasta ‘Task Scheduler Library -> Event Viewer Tasks’. Allí crear una nueva tarea y seleccionar ‘When a specific event is logged’.

Selección del trigger

En tipo de log, seleccionaremos ‘Security’, en Source ‘Microsoft Windows Security Auditing’, y en EventID introduciremos 4776. Éste ID es el especifico de inicio de sesión satisfactorio, de tal modo que configuraremos mediante un mensaje de alerta.

Selección del evento

Una vez finalizadas estas dos tareas, cerraremos sesión, introduciremos un unas credenciales erróneas y luego haremos login con nuestro usuario. De este modo nos debería llegar un correo electrónico indicándonos que se ha producido un intento de sesión erróneo, y un mensaje de alerta informándonos sobre un inicio de sesión satisfactorio, tal y como muestran las siguientes capturas.

E-Mail recibido informando de un intento de inicio de sesión incorrecto

Mensaje de alerta informando de un inicio de sesión satisfactorio

De este modo podemos recibir alertas personalizadas de los eventos más importantes en los entornos de muchos sistemas donde la carga de eventos es muy elevada. Esto puede ser una alternativa simple a ‘System Center: Operation Manager’ o herramientas externas.

Si quieres aprender mucho más sobre los secretos de lo sistemas Microsoft Windows, te recomendamos leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos" y, por último, te recordamos que si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.

Windows Técnico : Configuración, monitorización

Crear alertas para eventos del sistema Windows