VISOR DE SUCESOS

El único prblema es el perder esos eventos, pero si antes los guardas...

Si haces click derecho sobre uno de las "carpetas" del visor de eventos
puedes establecer el tamaño, haciéndolo más grande (el tamaño
predeterminados es de 512 KB).

Tienes, también, tres niveles de seguridad:

- Baja: cuando se alcanza el tamaño máximo del archivo de registro los
eventos más antiguos son sobreescritos por los eventos recientes; es decir,
nunca se producirá el mensaje que dices con esta configuraciñón y se
perderán los históricos, a no ser que perídicamente vayas exportándolos.

- Media: se sobreescriben aquellos eventos que sean más antiguos que los
días que se configuren (de forma predeterminadad 7). En este caso, se puede
producir el mensaje que dices, pues puede ser sobrepasado el tamaño máximo
al haber demasiados eventos menos antíguos que los indicados en esta
configuración)

- Alta: este tipo de configuración se establece, generalmente, cuando se
tienen activadas auditorías y en el fichero de eventos de seguridad
exclusivamente. Permite que no se escriban más eventos hasta que se limpie
el fichero de forma manual (se supone que el administrador deberá exportarlo
cuando se llene antes de vaciarlo y así conservar toda la información que se
produzcs). Cuando se utiliza de esta manera, es buena práctica que se active
la política "Configuración del equipo\Configuración de Windows\Configuración
de seguridad\Directivas locales\Opciones de seguridad\Apagar el sistema de
inmediato si no se puede registrar auditorías de seguridad". Esta política
lo que hace, es que cuando se llena el registro de sucesos de seguridad, de
forma que al hacer un intento de escribir un suceso de seguridad no se
pueda, el equipo hace shutdown y sólo podrá iniciar sesión en el equipo un
administrador, para borrar el registro (guardándolo antes en un fichero,
claro). Quizás interese también hacer más grande el tamaño del registro
archivo de registro para que este comportamiento no se produzca con
demasiada frecuencia.




Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Cómete un par de almejas para escribirme)


Fue Joseph () quien, en el mensaje
%, con sus deditos escribió:

Hola a todos:

En mis controladores de dominio secundarios, en su visor de sucesos,
muestran mensajes de que estan llenos.
Quiero saber que tan recomendable es que yo los borre periodicamente
y que guarde dichos sucesos.

¿Que problema ocacionaria?

Mis DC son Windows 2000 Server

Muchas Gracias Fernando Reyes por tomarte la molestia de responder a mi
pregunta y tocar algo muy importante como es la Seguridad.

Que estes Bien.

"Fernando Reyes [MS MVP]"
escribió en el mensaje news:

El único prblema es el perder esos eventos, pero si antes los guardas...

Si haces click derecho sobre uno de las "carpetas" del visor de eventos
puedes establecer el tamaño, haciéndolo más grande (el tamaño
predeterminados es de 512 KB).

Tienes, también, tres niveles de seguridad:

- Baja: cuando se alcanza el tamaño máximo del archivo de registro los
eventos más antiguos son sobreescritos por los eventos recientes; es
decir, nunca se producirá el mensaje que dices con esta configuraciñón y
se perderán los históricos, a no ser que perídicamente vayas
exportándolos.

- Media: se sobreescriben aquellos eventos que sean más antiguos que los
días que se configuren (de forma predeterminadad 7). En este caso, se
puede producir el mensaje que dices, pues puede ser sobrepasado el tamaño
máximo al haber demasiados eventos menos antíguos que los indicados en
esta configuración)

- Alta: este tipo de configuración se establece, generalmente, cuando se
tienen activadas auditorías y en el fichero de eventos de seguridad
exclusivamente. Permite que no se escriban más eventos hasta que se limpie
el fichero de forma manual (se supone que el administrador deberá
exportarlo cuando se llene antes de vaciarlo y así conservar toda la
información que se produzcs). Cuando se utiliza de esta manera, es buena
práctica que se active la política "Configuración del equipo\Configuración
de Windows\Configuración de seguridad\Directivas locales\Opciones de
seguridad\Apagar el sistema de inmediato si no se puede registrar
auditorías de seguridad". Esta política lo que hace, es que cuando se
llena el registro de sucesos de seguridad, de forma que al hacer un
intento de escribir un suceso de seguridad no se pueda, el equipo hace
shutdown y sólo podrá iniciar sesión en el equipo un administrador, para
borrar el registro (guardándolo antes en un fichero, claro). Quizás
interese también hacer más grande el tamaño del registro archivo de
registro para que este comportamiento no se produzca con demasiada
frecuencia.




Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Cómete un par de almejas para escribirme)


Fue Joseph () quien, en el mensaje
%, con sus deditos escribió:

Hola a todos:

En mis controladores de dominio secundarios, en su visor de sucesos,
muestran mensajes de que estan llenos.
Quiero saber que tan recomendable es que yo los borre periodicamente
y que guarde dichos sucesos.

¿Que problema ocacionaria?

Mis DC son Windows 2000 Server