Introduction
Supervise el registro de eventos de Windows para identificadores de evento específicos.
ℹ️ NOTE:El monitor de registro de eventos actualmente solo admite Windows.
Monitor de Registro de Eventos
Level supervisa el registro de eventos de Windows en dispositivos cubiertos.Occurrencesrecuento dentro de laDurationventana, se activa una alerta.
La combinación de ocurrencias y duración es lo que lo hace útil.
Configuración del monitor de registro de eventos
Abra la política de monitor de destino y agregue o edite un monitor.Editar monitorpanel se abre en el lado derecho.
Nombre y Tipo
Ingrese un nombre en elNamecampo. Incluya el ID del evento y lo que representa.
Set Tipo to Event log.
Gravedad
Set Gravedadbasado en lo que los identificadores de evento representan:
Información
Advertencia
Crítico
Emergencia
Event IDs
Ingrese uno o más identificadores de evento de Windows para supervisar.
💡 TIP:Puede supervisar varios identificadores de evento relacionados.
Log Name
Ingrese el nombre del registro de eventos de Windows a supervisar.
Securityeventos de seguridad e inicio de sesiónSystemeventos a nivel del sistema operativo, hardware, controladoresApplicationeventos generados por la aplicación
Source
Sourcees opcional. Ingrese un nombre de origen para limitar el monitor.
Levels
Seleccione uno o más niveles de registro de eventos.
Información
Advertencia
Error
Crítico
Verbose
Haga clic en la lista desplegable para agregar niveles.×junto a un chip de nivel para eliminarlo.×a la derecha del campo para borrar todas las selecciones.
ℹ️ NOTE:Los niveles del registro de eventos de Windows son conceptos separados.Levelscampo filtra qué entradas del registro de eventos se cuentan;Gravedadestablece la prioridad de la alerta que crea Level.
Occurrences
Occurrencesestablece cuántos eventos coincidentes deben detectarse.
Duration
Durationestablece la ventana de tiempo para contar ocurrencias.Minutes or Hours; el control deslizante establece el valor.
💡 TIP:Haga coincidir la ventana de duración con el modelo de amenaza.
Resolución Automática
Auto-resolve alert if it is no longer applicableestá deshabilitado de forma predeterminada.
Remediación
Adjunte una o más automatizaciones para ejecutar.
Click in the Remediacióncampo y seleccione una automatización.
Para agregar más, haga clic+ Add another remediation.
Para eliminar uno, haga clic en el× next to it.
ℹ️ NOTE:Las correcciones se ejecutan cuando se crea la alerta.
Notificaciones
Send notifications on alert creationlos destinatarios de la política reciben un correo electrónico cuando se activa la alerta
Send notifications on alert resolutionlos destinatarios de la política reciben un correo electrónico cuando se resuelve la alerta
Los destinatarios se administran a nivel de política del monitor.Destinatarios section.
Saving the Monitor
Click Update monitorpara guardar cambios, oAdd monitoral agregar uno nuevo.
FAQ
Who can create and edit monitors?Técnicos con acceso a la política de monitor relevante.Workspace → Permissions.
¿Dónde encuentro los identificadores de evento para los eventos que quiero supervisar?El Visor de eventos de Windows es la forma más rápida.
¿Puedo supervisar el mismo ID de evento con diferentes umbrales?Sí — cree monitores separados para cada umbral.
¿Funciona el monitor de registro de eventos en macOS o Linux?No — El registro de eventos de Windows es una característica solo de Windows.
¿Qué sucede con las alertas de registro de eventos abiertas si elimino el monitor?Las alertas existentes permanecen.