Ir al contenido principal

Monitor de registro de eventos

Alert when specific Windows Event IDs appear a defined number of times within a set time window.

Introducción

Supervisa el registro de eventos de Windows en busca de IDs de eventos específicos y emite alertas cuando aparecen con demasiada frecuencia. El monitor de registro de eventos se activa cuando un evento coincidente ocurre un número definido de veces dentro del intervalo de tiempo elegido — útil para detectar intentos de inicio de sesión por fuerza bruta, fallos de aplicaciones, errores de disco y otros patrones que solo son relevantes en volumen.

ℹ️ NOTA: El monitor de registro de eventos actualmente solo es compatible con Windows. La compatibilidad con macOS y Linux llegará en una actualización futura.

Monitor de registro de eventos

Level supervisa el registro de eventos de Windows en los dispositivos cubiertos para cualquiera de los IDs de eventos que especifiques. Cuando los eventos coincidentes se acumulan hasta alcanzar tu Ocurrencias conteo dentro de la Duración ventana, se activa una alerta.

La combinación de ocurrencias y duración es lo que hace esto útil. El ID de evento 4625 (inicio de sesión fallido) que aparece una vez no es notable. Aparecer 10 veces en un minuto es un intento de fuerza bruta que vale la pena atender de inmediato.

Configuración del monitor de registro de eventos

Abre la política de monitor de destino, luego agrega o edita un monitor de registro de eventos. El Editar monitor el panel se abre a la derecha.

Nombre y tipo

  1. Escribe un nombre en el Nombre campo. Incluye el ID de evento y lo que representa — «Intentos de inicio de sesión fallidos (4625)» es inmediatamente legible en una lista de alertas.

  2. Establece Tipo a Registro de eventos.

Gravedad

Establece Gravedad según lo que representen los IDs de eventos en contexto:

  • Información

  • Advertencia

  • Crítico

  • Emergencia

IDs de eventos

Introduce uno o más IDs de eventos de Windows para supervisar. Escribe un ID y presiona Tab o agrega una coma para añadirlo como etiqueta, luego continúa ingresando más.

Event IDs

💡 CONSEJO: Puedes supervisar varios IDs de eventos relacionados en un solo monitor. Por ejemplo, agrupa todos los IDs de eventos de autenticación fallida (4625, 4771, 4776) en un monitor en lugar de crear monitores separados para cada uno.

Nombre del registro

Introduce el nombre del registro de eventos de Windows que deseas supervisar. El campo no distingue entre mayúsculas y minúsculas. Valores comunes:

  • Security — eventos de seguridad e inicio de sesión

  • System — eventos a nivel de sistema operativo, hardware, controladores

  • Application — eventos generados por aplicaciones

Log Name

Origen

Origen es opcional. Introduce un nombre de origen para limitar el monitor a eventos de una aplicación o componente específico dentro del registro. Déjalo en blanco para coincidir con los IDs de eventos de cualquier origen en ese registro.

Source

Niveles

Selecciona uno o más niveles del registro de eventos para coincidir. Solo los eventos en los niveles seleccionados contarán para tu umbral de ocurrencias:

  • Información

  • Advertencia

  • Error

  • Crítico

  • Detallado

Haz clic en el menú desplegable para agregar niveles. Haz clic en × junto a un chip de nivel para eliminarlo. Haz clic en × a la derecha del campo para borrar todas las selecciones.

Levels

ℹ️ NOTA: los niveles del registro de eventos de Windows y la gravedad de las alertas de Level son conceptos separados. El campo Niveles filtra qué entradas del registro de eventos se cuentan; Gravedad establece la prioridad de la alerta que crea Level.

Ocurrencias

Ocurrencias establece cuántos eventos coincidentes deben detectarse dentro de la ventana de duración antes de que se active una alerta. Usa las flechas hacia arriba/abajo para establecer el valor.

Occurrences

Duración

Duración establece el intervalo de tiempo para contar ocurrencias. El menú desplegable de unidades te permite elegir Minutos o Horas; el control deslizante y las flechas hacia arriba/abajo establecen el valor dentro de esa unidad.

Duration

💡 CONSEJO: Ajusta la ventana de duración al modelo de amenaza. Los inicios de sesión fallidos se supervisan mejor en un intervalo corto (p. ej., 10 fallos en 30 minutos) para detectar ataques activos. Los fallos de aplicación pueden usar un intervalo más amplio (p. ej., 5 fallos en 1 hora) para evitar alertas por incidentes aislados.

Resolución automática

Resolver automáticamente la alerta si ya no es aplicable está desactivada de forma predeterminada para los monitores de registro de eventos. Las alertas basadas en eventos representan algo que ya ocurrió — no tienen un estado de «infracción activa» que se pueda borrar automáticamente, por lo que dejar la resolución automática desactivada significa que las alertas persisten hasta que un técnico las revise y resuelva.

Auto Resolve

Corrección

Adjunta una o más automatizaciones para ejecutar cuando se active este monitor — aislar un dispositivo, restablecer una cuenta de usuario, crear un ticket o notificar a tu equipo.

  1. Haz clic en el Corrección campo y selecciona una automatización.

  2. Para agregar más, haz clic en + Agregar otra corrección.

  3. Para eliminar uno, haz clic en × junto a él.

ℹ️ NOTA: Las correcciones se ejecutan cuando se crea la alerta, no cuando se resuelve.

Notificaciones

  • Enviar notificaciones al crear la alerta — los destinatarios de la política reciben un correo electrónico cuando se activa la alerta

  • Enviar notificaciones al resolver la alerta — los destinatarios de la política reciben un correo electrónico cuando se resuelve la alerta

Los destinatarios se gestionan a nivel de política de monitor, en la Destinatarios sección.

Notifications

Guardar el monitor

Haz clic en Actualizar monitor para guardar los cambios, o Agregar monitor al agregar uno nuevo.

Preguntas frecuentes

  • ¿Quién puede crear y editar monitores? Técnicos con acceso a la política de monitor correspondiente. La configuración de permisos se gestiona en Espacio de trabajo → Permisos.

  • ¿Dónde encuentro los IDs de eventos para los eventos que quiero supervisar? El Visor de eventos de Windows es la forma más rápida — encuentra un evento que quieras supervisar, abre sus propiedades y el ID de evento aparece listado allí. La documentación de Microsoft y referencias de seguridad como la Enciclopedia de registros de seguridad de Windows también son útiles para los IDs de eventos de seguridad comunes.

  • ¿Puedo supervisar el mismo ID de evento con diferentes umbrales de ocurrencias? Sí — crea monitores separados para cada umbral. Por ejemplo, un monitor para 3 inicios de sesión fallidos en 1 hora (Advertencia) y otro para 10 en 1 minuto (Crítico).

  • ¿El monitor de registro de eventos funciona en macOS o Linux? No — el registro de eventos de Windows es una función exclusiva de Windows. Para la supervisión basada en registros en macOS o Linux, utiliza un monitor de scripts que lea los registros del sistema directamente.

  • ¿Qué ocurre con las alertas abiertas del registro de eventos si elimino el monitor? Las alertas existentes permanecen en su lugar. Eliminar un monitor no cierra las alertas que ya creó — resuélvelas manualmente.

Artículos relacionados
Introducción a los Monitores
Monitor de proceso
Monitor de servicio
Monitor de Antivirus
Monitor de inicio de sesión fallido
¿Ha quedado contestada tu pregunta?