O visualizador de eventos é um console que nos permite visualizar todos os logs gerados pelo sistema. Para utilizar essa ferramenta você precisa possuir direitos administrativos. Os tipos de eventos gerados no Visualizador de Eventos são os seguintes:
O log de segurança possui dois tipos de eventos:
O Visualizar Eventos registra as informações em vários logs diferentes. Os Logs do Windows incluem:
- Aplicativo: os eventos são classificados como erro, aviso ou informações, dependendo da gravidade. Um erro é um problema importante, como a perda de dados. Um aviso é um evento que não é necessariamente importante, mas que pode indicar um possível problema no futuro. Um evento de informação descreve a operação com êxito de um programa, driver ou serviço.
- Segurança: esses eventos são chamados de auditorias e são classificados como bem-sucedido ou com falha, dependendo do evento (por exemplo, se um usuário tentando fazer logon no Windows obteve êxito).
- Instalação: os computadores que são configurados como controladores de domínio terão logs adicionais exibidos aqui.
- Sistema: os eventos do sistema são registrados pelo Windows e pelos serviços de sistema do Windows e são classificados como erro, aviso ou informações.
- Eventos encaminhados: esses eventos são encaminhados a esse log por outros computadores. Esse é um novo recurso disponível no Windows Vista
Outro conceito interessante no Visualizador de Eventos no Windows Vista são as visões customizadas, ou, Modo de Exibição Personalizado. Por padrão, o Windows Vista possui alguns modos de exibição personalizados, o que nos permite visualizar eventos por categorias, o que facilita muito a administração de servidores. Seguem abaixo as categorias padrão:
- Eventos de hardware: exibe todos os eventos relacionados com o hardware.
- Internet Explorer: exibe todos os eventos relacionados com o Internet Explorer.
- Key Management Service: exibe todos os eventos relacionados com o KMS.
- Media Center: exibe todos os eventos relacionados com o Windows Media Center.
- Replicação DFS: exibe todos os eventos relacionados com o DFS.
- Microsoft Windows: possui dezenas de visões customizadas, onde podemos visualizar eventos relacionados com backup, BitLocker, Group Policy, Terminal Services, Winlogon, é uma série de outros componentes de sistema.
Você pode ainda criar seus próprios modos de exibição personalizados. Para isso, siga o exemplo abaixo:
Exemplo prático – Criar um modo de exibição personalizado no Visualizador de Eventos do Windows Vista.
- Abra o Painel de Controle, Ferramentas Administrativas, Visualizador de Eventos. A tela abaixo será exibida.
Visualizador de Eventos
- Clique com o botão direito do mouse sobre Modos de Exibição Personalizados e clique em Criar Modo de Exibição Personalizado. A tela abaixo será exibida.
Visualizador de Eventos
- Nessa tela devemos definir quando o evento foi registrado, os níveis do evento, se a fonte será um log padrão do Windows ou se será por origem (componentes específicos). Podemos também definir categorias, palavras chave, usuário, computadores.
- Na aba XML será exibido um código XML do filtro que você criar. Aqui você pode selecionar a opção Editar consulta manualmente, onde você poderá editar diretamente o código XML.
Visualizador de Eventos
- Faça as configurações desejadas e clique em OK.
- Na tela que será exibida digite um nome e descrição para o modo de exibição que será criado e clique em OK.
Visualizador de Eventos
- Após isso observe que o modo de exibição é criado e já é exibido no console do Visualizador de Eventos.
Visualizador de Eventos
Um novo recurso disponível no Visualizador de Eventos do Windows Vista é capacidade de anexar uma determinada tarefa com um evento. Esse recurso nos permite configurar uma ação sempre que um determinado evento ocorrer. As ações disponíveis são: enviar um e-mail, iniciar um programa ou exibir uma mensagem. Vamos para um exemplo prático onde veremos como anexar uma tarefa em um evento.
Exemplo prático – Anexar uma tarefa em um evento no Visualizador de Eventos do Windows Vista.
- Abra o Painel de Controle, Ferramentas Administrativas, Visualizador de Eventos.
- Localize o evento desejado e clique com o botão sobre o evento. Selecione a opção Anexar Tarefa a este Evento. O assistente abaixo será exibido. Nessa primeira tela defina um nome e descrição. Clique em Avançar.
Criar uma Tarefa Básica
- Na próxima tela temos informações referentes ao evento que selecionamos. Clique em Avançar.
Criar uma Tarefa Básica
- Agora defina a ação que será tomada todas as vezes que esse tipo de evento ocorrer. Para nosso exemplo vamos selecionar a opção Exibir uma mensagem. Clique em Avançar.
Criar uma Tarefa Básica
- Na próxima tela digite um título para a mensagem e a mensagem que será exibida. Clique em Avançar.
Criar uma Tarefa Básica
- Agora será exibido um resumo das configurações realizadas. Clique em Concluir.
Criar uma Tarefa Básica
- Na tela que será exibida clique em OK. Perceba nesse momento que foi criado uma tarefa no Agendador de Tarefas do Windows, ou seja, ambas as ferramentas são integradas.
Criar uma Tarefa Básica
Quando um log de eventos está cheio, podemos definir quais serão as ações do Windows Vista. As opções são as seguintes:
- Substituir eventos quando necessário: com essa opção ativada, você pode perder informações se o log ficar cheio antes de você arquivá-lo.
- Arquivar o log quando estiver cheio, não substituir eventos: parecida com a opção anterior, porém nenhum evento será perdido.
- Não substituir eventos: essa opção exige que você limpe o log manualmente. Quando o log estiver cheio, o Windows deixará de registrar os eventos e emitirá uma mensagem informando que o log está cheio.
Podemos arquivar o conteúdo de um log de evento em 3 formatos, os quais são:
- .evtx: podemos visualizar os logs no Visualizador de Eventos posteriormente.
- .txt: podemos visualizar os logs em processadores de texto.
- .csv: formato de arquivo de texto delimitado por vírgulas. Pode ser visualizado e planilhas eletrônicas e banco de dados.
- xml: novo padrão de arquivos disponível no Windows Vista.
Podemos também limpar o log de eventos e definir o tamanho máximo do log. Todas essas configurações citadas acima são feitas individualmente em cada tipo de log. Para fazer as configurações basta clicar com o botão direito do mouse no log desejado e selecionar a opção Propriedades. A tela abaixo será exibida.
Propriedades de Log
Vamos agora para um último recurso disponível no Windows Vista, que são as Inscrições. Para utilizar esse recurso o serviço Coletor de Eventos do Windows deve estar iniciado. Esse recurso nos permite visualizar eventos de outros computadores de forma centralizada. Vamos ver na prática como fazemos essa configuração.
Exemplo prático – Criar uma Inscrição no Visualizador de Eventos do Windows Vista.
Nesse exemplo usaremos dois computadores com o Windows Vista Ultimate (Pegasus e Proteus). Os eventos do computador Proteus serão encaminhados para o computador Pegasus.
- Nos dois computadores digite o comando WinRm quickconfig e pressione Y ou S. Nesse momento serão criadas as exceções necessárias no firewall e os serviços. E no computador que receberá os eventos digite o comando wecutil qc. Digite Y ou S e pressione Enter.
- Abra o Painel de Controle, Ferramentas Administrativas, Visualizador de Eventos.
- Clique com o botão direito do mouse sobre Inscrições e selecione a opção Criar Inscrição. A tela abaixo será exibida. Caso o serviço Coletor de Eventos do Windows não esteja iniciado será exibido um alerta.
Criar Inscrição
- Na tela acima devemos digitar um nome e a descrição para a Inscrição que será criada. Na caixa Log de destino devemos selecionar o local onde os eventos encaminhados serão armazenados. Na caixa Selecionar Computadores, selecione o computador do qual você visualizará os eventos. Clique na caixa Selecionar Eventos.
Selecionar Eventos
- Na tela acima você deve selecionar os tipos de eventos que serão encaminhados. Selecione as opções desejadas e clique em OK.
- Na caixa Avançadas temos configurações relacionadas com a conta de usuário que será utilizada, tipo de transferência de eventos que pode ser normal, minimizar largura de banda, minimizar latência e personalizado. Selecionamos ainda o protocolo e porta utilizado na comunicação (HTTP ou HTTPS). Clique em OK.
Opções Avançadas
- Na caixa de Propriedades de Inscrição clique em OK. Pronto, inscrição criada com sucesso.
Conclusão
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org
Links Relacionados
http://technet.microsoft.com/pt-br/windowsvista/default.aspx
Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:
http://forums.microsoft.com/technet-br
Fabiano de Santana, trabalha com TI a mais de 7 anos. Bacharelado em Análise de Sistemas e cursando Pós Graduação em Segurança da Informação. Trabalha atualmente na IBM Brasil, membro do time de Intel Security. Realizou vários projetos, entre eles implementação do WSUS, migração de correio eletrônico, implementação do ISA Server 2004, implementação de políticas de segurança, implementação de Lotus Notes, entre outros. Possui as certificações MCP, MCDST, MCSA / MCSE 2000 Security, MCSA/MCSE 2003 Security, ITIL Foundation e IBM Certified System Administrator – Lotus Notes and Domino 7.
Autor de ebooks e artigos em parceria com o Julio Battisti há mais de 2 anos, moderador do Fórum de Windows / Certificações do site www.juliobattisti.com.br e autor de artigos para o Technet. Atua também como professor e autor de cursos para o site iPED.
Líder da comunidade Winsec.org, juntamente com o Vitor Nakano.