Como usar el Visor de eventos de Windows para conocer si alguien usa nuestra PC o Notebook en nuestra ausencia, cuando y que tiempo la utiliza, acceder a todos los eventos registrados en el equipo, conocer la fecha y hora de los dispositivos USB que han sido insertados en el equipo.
Si eres administrador de tu PC tienes acceso total a toda la información almacenada en ella, eso incluye el registro del uso y empleo del equipo, ya sea por ti o por cualquier otra persona.
De esta forma se puede auditar y conocer todos los eventos registrados y guardados en el equipo por Windows, ya que se graba automáticamente cada suceso o acción y se registran exactamente con todos los detalles. Puede ser un evento iniciado por el usuario o por el sistema, todo queda guardado en el Registro de Windows y podemos acceder a la información sobre ellos de varias formas, alguna de ellas son las siguientes.
? El Visor de eventos de Windows.
? El Editor del Registro.
? Otros archivos y logs del sistema.
A continuación se muestran algunas formas de obtener información en el Visor de eventos, el Editor del Registro y archivos aislados que almacena el sistema operativo, el tema es inmenso, son solo ejemplos aislados, por lo que se tratará de agregar otros posteriormente que puedan ser de utilidad.
El Visor de eventos de Windows
Windows incluye una herramienta llamada Visor de eventos, ofrece un interface mediante la cual se facilita obtener información sobre todos los eventos registrados en el equipo, pero ¿qué es un evento?
Los eventos o registros de eventos son archivos que registran los eventos importantes que tienen lugar en el equipo, ya sea información, errores, sucesos, inicios de aplicaciones, etc. Siempre que se producen Windows los va incluyendo en un registro que se puede leer mediante el Visor de eventos. Se clasifican en tres tipos: Información, Advertencia y Errores.
Iniciar el Visor de eventos es bastante sencillo, solo escribe Visor de eventos o eventvwr en el cuadro de Inicio y oprime Enter.
Es tanta la información que se almacena y se va acumulando sucesivamente que puede ser algo tedioso dar con lo que nos interesa.
Estructura del Visor de eventos
Los eventos aparecen organizados en dos categorías de registros de eventos: Registros de Windows y Registros de aplicaciones y servicios.
Registros de Windows.
Almacena eventos que se aplican a todo el sistema, se divide en:
? Aplicación. Almacena mensajes de información y error registrados por aplicaciones o programas.
? Seguridad.
? Instalación.
? Sistema. Contiene eventos registrados por componentes del sistema Windows, los tipos de eventos registrados por los componentes del sistema están predeterminados por Windows por lo que son estándar en todos los equipos.
Registros de aplicaciones y servicios.
Estos registros almacenan eventos de una única aplicación o componente en lugar de eventos que pueden tener un impacto en todo el sistema
Como buscar información de un evento
Todos los eventos tienen un número de identificación único, por lo que si conoces el que corresponde a la tarea que quieres verificar tienes dos opciones para facilitar su búsqueda.
1- Filtrar registro actual, es una especie de búsqueda donde se muestran los resultados filtrados por la identidad o identidades que se especifiquen.
Para eso abre el registro necesario, da un clic derecho y escoge la opción Filtrar registro actual, La opción Registrado permite reducir la búsqueda especificando un periodo de tiempo determinado.
En <Todos los id del evento> escribe el número de identidad, si son varios separados con coma. Si es un intervalo de varios eventos, por ejemplo, del 1234 al 1239, ambos incluidos, escribe 1234-1239.
2- Crear una vista personalizada, no es más que una ventana donde aparecen filtrados todos los eventos que corresponden con la identidad o identidades que se especifiquen.
Es posible obtener información en línea sobre cualquier evento, para eso en cada ventana, en la parte inferior aparece un vínculo de nombre: Ayuda Registro de.
Ejemplos de identidades de eventos
Algunos de ejemplos de identidades de eventos estándar en todos los equipos son las siguientes:
12
Inicio del sistema operativo
13
Cierre del sistema
64
Sistema entrando en suspensión
1
Salida del equipo de un estado de suspensión
19
Actualizaciones instaladas por Windows Update
41
Se reinició el sistema sin apagarlo limpiamente primero. Este error puede producirse si el sistema dejó de responder, se bloqueó o se interrumpió el suministro eléctrico de forma inesperada. (Error)
51
Errores de escritura de disco en archivo de paginacion. (Advertencia)
1000
Iniciado el examen de Microsoft Antimalware.
1116
Microsoft Antimalware detectó malware u otro software potencialmente no deseado (Advertencia con detalles del malware encontrado)
2000
Se actualizó la versión de la firma de Microsoft Antimalware.
3002
La característica de protección en tiempo real de Microsoft Antimalware detectó un error y no pudo iniciarse.
1014
Mensaje del agotamiento del tiempo de espera para la resolución de nombres en los servidores DNS configurados.
7000
Mensajes de error de diversos servicios que no pueden iniciarse con el nombre del servicio y las causas de dicho error.
7036
Agrupa la información sobre la ejecución o detención de los Serv.
Ejemplos prácticos del uso del Visor de eventos
Como conocer detalles del inicio y apagado del equipo
Como crear una vista personalizada que permita al iniciar el Visor de eventos y tener listado todos los eventos de inicio y apagado del equipo, con la fecha y hora exacta en el periodo de tiempo que se especifique.
1- Abre el Visor de eventos.
2- En el panel de la izquierda da un clic en Vistas personalizadas, en el menú escoge Crear vista personalizada.
3- En el menú desplegable en la opción Registro de eventos marca la casilla “Registros de Windows”.
4- En <Todos los id del evento> escribe: “12, 13″, presiona Aceptar.
5- En la ventana que aparece a continuación escribe un nombre para identificar la vista creada, puede ser, por ejemplo: “Inicio y Cierre”, presiona Aceptar.
Ya está creada la vista, de ahora en adelante para conocer los detales de cada inicio y cierre del sistema, solo accede al Visor de eventos y en el panel Vistas personalizadas, en Inicio y Cierre estará toda la información actualizada.
El archivo de ayuda con toda la información para explotar todas las opciones que permite el Visor de eventos, se encuentra en la siguiente ubicación:
C:WindowsHelpmuiC0Aeventviewer.CHM
Como conocer los dispositivos USB conectados al equipo
Es posible conocer si en nuestra ausencia se conectó algún dispositivo en los puertos USB de la computadora, ya sea para copiar datos e información, para imprimir o para cualquier otra tarea que involucre este tipo de hardware.
Claves del Registro que guardan información del uso de los dispositivos USB.
El Registro de Windows guarda toda la información de los dispositivos USB que han sido conectados al equipo, ya sea la instalación de dispositivos auxiliares como impresoras, lectores de disco, o dispositivos de almacenamiento como memorias flash, tarjetas de memoria, discos duros externos, que se usan para copiar datos.
Toda la información se encuentra registrada en las siguientes claves:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR
Esta clave contiene varias subclaves, una por cada dispositivo o equipo que se ha instalado a través de los puertos USB de la computadora, cada una contiene toda la información relativa a dicho dispositivo.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSB
Esta clave contiene varias subclaves, una por cada dispositivo de almacenamiento USB que ha sido conectado y desconectado del equipo, cada una contiene toda la información relativa a dicho dispositivo.
Archivos de Windows donde se guarda información del uso de los dispositivos USB.
En el archivo setupapi.dev.log se guarda información de todos los dispositivos USB instalados en el equipo, es un archivo de texto que puede abrirse y leerse con el Bloc de notas, cada proceso efectuado comienza con una línea con el siguiente formato:
[Boot Session: 2011/03/07 16:21:21.110] que especifica la fecha y hora exactas.
El archivo se encuentra en la siguiente ubicación: C:Windowsinfsetupapi.dev.log
..Siempre a favor y en busca del conocimiento?