Monitoree el Registro de Eventos de Windows en busca de ID de evento específicos y reciba una alerta cuando aparezcan con demasiada frecuencia. El monitor del Registro de Eventos se activa cuando un evento coincidente ocurre un número definido de veces dentro de su ventana de tiempo elegida — útil para detectar intentos de inicio de sesión por fuerza bruta, bloqueos de aplicación, errores de disco y otros patrones que solo importan en volumen.
ℹ️ NOTA: El monitor del Registro de Eventos actualmente es compatible con Windows únicamente. El soporte para macOS y Linux llegará en una actualización futura.
Monitor del Registro de Eventos
Level monitorea el Registro de Eventos de Windows en dispositivos cubiertos para cualquiera de los ID de evento que especifique. Cuando los eventos coincidentes se acumulan a su número de Ocurrencias dentro de la ventana Duración, se activa una alerta.
La combinación de ocurrencias y duración es lo que hace esto útil. El ID de evento 4625 (inicio de sesión fallido) que aparece una vez no es notable. Aparecer 10 veces en un minuto es un intento de fuerza bruta que merece tomar medidas de inmediato.
Configuración del Monitor del Registro de Eventos
Abra la política de monitor de destino, luego agregue o edite un monitor del Registro de Eventos. El panel Editar monitor se abre a la derecha.
Nombre y Tipo
Ingrese un nombre en el campo Nombre. Incluya el ID de evento y lo que representa — « Intentos de Inicio de Sesión Fallidos (4625) » es inmediatamente legible en una lista de alertas.
Establezca Tipo en Registro de eventos.
Gravedad
Establezca Gravedad basado en lo que los ID de evento representan en contexto:
Información
Advertencia
Crítico
Emergencia
ID de Evento
Ingrese uno o más ID de evento de Windows para monitorear. Escriba un ID y presione Tab o agregue una coma para agregarlo como etiqueta, luego continúe ingresando más.
💡 CONSEJO: Puede monitorear múltiples ID de evento relacionados en un solo monitor. Por ejemplo, agrupe todos los ID de evento de autenticación fallida (4625, 4771, 4776) en un monitor en lugar de crear monitores separados para cada uno.
Nombre del Registro
Ingrese el nombre del Registro de Eventos de Windows a monitorear. El campo no distingue entre mayúsculas y minúsculas. Valores comunes:
Seguridad— eventos de seguridad e inicio de sesiónSistema— eventos a nivel del sistema operativo, hardware, controladoresAplicación— eventos generados por aplicaciones
Origen
Origen es opcional. Ingrese un nombre de origen para limitar el monitor a eventos de una aplicación o componente específico dentro del registro. Déjelo en blanco para hacer coincidir los ID de evento en cualquier origen de ese registro.
Niveles
Seleccione uno o más niveles del Registro de Eventos para hacer coincidir. Solo los eventos en los niveles seleccionados contarán para su umbral de ocurrencias:
Información
Advertencia
Error
Crítico
Detallado
Haga clic en la lista desplegable para agregar niveles. Haga clic en × al lado de un chip de nivel para quitarlo. Haga clic en el × a la derecha del campo para limpiar todas las selecciones.
ℹ️ NOTA: Los niveles del Registro de Eventos de Windows y la gravedad de la alerta de Level son conceptos separados. El campo Niveles filtra qué entradas del Registro de Eventos se cuentan; Gravedad establece la prioridad de la alerta que Level crea.
Ocurrencias
Ocurrencias establece cuántos eventos coincidentes deben detectarse dentro de la ventana de duración antes de que se active una alerta. Use las flechas hacia arriba/abajo para establecer el valor.
Duración
Duración establece la ventana de tiempo para contar ocurrencias. El menú desplegable de unidad le permite elegir Minutos u Horas; el regulador y las flechas hacia arriba/abajo establecen el valor dentro de esa unidad.
💡 CONSEJO: Adapte la ventana de duración al modelo de amenaza. Los inicios de sesión fallidos se monitorean mejor sobre una ventana corta (p. ej., 10 fallos en 30 minutos) para detectar ataques activos. Los bloqueos de aplicación podrían usar una ventana más amplia (p. ej., 5 bloqueos en 1 hora) para evitar alertas sobre incidentes aislados.
Resolución Automática
Resolver automáticamente la alerta si ya no es aplicable está deshabilitada de forma predeterminada para los monitores del Registro de Eventos. Las alertas basadas en eventos representan algo que ya sucedió — no tienen un estado « actualmente en incumplimiento » que se pueda borrar automáticamente, por lo que dejar la resolución automática deshabilitada significa que las alertas persisten hasta que un técnico las revisa y resuelve.
Corrección
Adjunte una o más automatizaciones para ejecutar cuando este monitor se dispare — aísle un dispositivo, restablezca una cuenta de usuario, cree un ticket o notifique a su equipo.
Haga clic en el campo Corrección y seleccione una automatización.
Para agregar más, haga clic en + Agregar otra corrección.
Para quitar uno, haga clic en el × al lado.
ℹ️ NOTA: Las correcciones se ejecutan cuando se crea la alerta, no cuando se resuelve.
Notificaciones
Enviar notificaciones a la creación de la alerta — los destinatarios de la política reciben un correo electrónico cuando se dispara la alerta
Enviar notificaciones a la resolución de la alerta — los destinatarios de la política reciben un correo electrónico cuando se resuelve la alerta
Los destinatarios se gestionan a nivel de política de monitor, en la sección Destinatarios.
Guardar el Monitor
Haga clic en Actualizar monitor para guardar cambios, o Agregar monitor al agregar uno nuevo.
FAQ
¿Quién puede crear y editar monitores? Los técnicos con acceso a la política de monitor relevante. Las configuraciones de permisos se gestionan en Espacio de Trabajo → Permisos.
¿Dónde encuentro ID de evento para los eventos que deseo monitorear? El Visor de Eventos de Windows es la forma más rápida — encuentre un evento que desee monitorear, abra sus propiedades, y la ID de Evento se enumera allí. La documentación de Microsoft y las referencias de seguridad como la Enciclopedia del Registro de Seguridad de Windows también son útiles para los ID de evento de seguridad comunes.
¿Puedo monitorear el mismo ID de evento con diferentes umbrales de ocurrencia? Sí — cree monitores separados para cada umbral. Por ejemplo, un monitor para 3 inicios de sesión fallidos en 1 hora (Advertencia) y otro para 10 en 1 minuto (Crítico).
¿El monitor del Registro de Eventos funciona en macOS o Linux? No — el Registro de Eventos de Windows es una característica exclusiva de Windows. Para la supervisión basada en registros en macOS o Linux, utilice un Monitor de Script que lea registros del sistema directamente.
¿Qué sucede con las alertas abiertas del Registro de Eventos si elimino el monitor? Las alertas existentes permanecen en su lugar. Eliminar un monitor no cierra las alertas que ya ha creado — resuélvalas manualmente.