Hice esta pregunta en SuperUser sin mucha suerte, por lo que la publico aquí para ver si alguien puede ayudarme.
Tenemos un servidor syslog central y queremos que capture eventos de registro de eventos de hosts de Windows. Estamos específicamente interesados en registrar eventos de inicio/detención del servicio. Instalamos "Eventlog to Syslog" en estos hosts de Windows y todo funciona bien con hosts XP (los eventos provienen del Administrador de control de servicios). Sin embargo, tenemos problemas con los hosts Win2k. Por alguna razón, los eventos de inicio/detención del servicio no se registran en el registro de eventos de los hosts Win2k. Le pedí a otro amigo de otra empresa que probara en un host Win2k y obtiene eventos de inicio/detención en ellos. He buscado políticas de auditoría locales que necesito habilitar, pero no he tenido mucha suerte. ¿Alguien tiene alguna idea?
Gracias de antemano.
Respuesta1
Pruebe con syslogAgent (http://syslogserver.com/syslogagent.html) que no necesita ninguna configuración especial (no probé eventlog, así que no lo sé).
Si vuelve a fallar, entonces su demonio de auditoría probablemente esté desactivado. De lo contrario, el problema son las configuraciones del registro de eventos. (Tal vez te ayudehttp://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html)
Respuesta2
Mi sospecha inicial sería que algo como los servicios COM+ o SENS estén deshabilitados o rotos en sus servidores W2K. No estoy seguro de que alguno de estos cause su problema, pero sería un buen punto de partida. Si todavía recibe eventos de inicio/cierre de sesión en los sistemas afectados, entonces no es probable que esta sea la causa, ya que se desactivarán si hay algún problema con cualquiera de estos servicios. Podría valer la pena revisar la lista de "estándar"Servicios de Windows 2000 aquípara ver si hay algo importante que esté deshabilitado o no pueda iniciarse.
Puedes usarMonitor de procesos SysInternalspara intentar concentrarse en cualquier cosa que esté fallando al iniciar o detener algunos servicios. Es posible que no pueda ayudar en este caso, pero existe una buena posibilidad de que, si hay un error o un problema de derechos de acceso que impide que se registren los eventos, Process Monitor debería informarlo cada vez que inicie o detenga los servicios.
Otro enfoque que podría funcionar, incluso si no puede descubrir cómo hacer que los eventos stop\start generen eventos, es habilitar la auditoría de los servicios. Si está utilizando cuentas de servicio reales para los servicios mismos, entonces debería poder detectar los eventos de inicio/cierre de sesión de la cuenta asociados con el inicio/detención de los servicios asociados.Este enlace TechnetDebería ayudarte a empezar si quieres probar esto.