Abrir el Visor de eventos-Windows 7

El Visor de eventos es una herramienta que muestra informacin detallada acerca de eventos importantes
del equipo, por ejemplo, programas que no se inician como se espera o actualizaciones que se descargan
automticamente. El Visor de eventos puede resultar til para solucionar problemas y errores de Windows y
otros programas.
Para abrir el Visor de eventos, haga clic en el botn Inicio , en Panel de control, Sistema y
seguridad, Herramientas administrativas y, a continuacin, haga clic en Visor de eventos. Si se le
solicita una contrasea de administrador o una confirmacin, escriba la contrasea o proporcione la
confirmacin.
Cmo ver y administrar los registros de eventos en el Visor de eventos de Windows XP
Visor de eventos
En Windows XP, un evento es cualquier evento significativo del sistema o de un programa que requiere que
se notifique a los usuarios o que se agregue una entrada a un registro. El servicio Registro de eventos graba
eventos de aplicacin, de seguridad y de sistema en el Visor de eventos. Con los registros de eventos del
Visor de eventos puede obtener informacin acerca de los componentes de hardware, software y sistema, y
supervisar los eventos de seguridad de un equipo local o remoto. Los registros de eventos pueden ayudar a
identificar y diagnosticar el origen de los problemas actuales del sistema o a predecir posibles problemas del
sistema.
Tipos de registros de eventos
Un equipo con Windows XP graba los eventos en los tres registros siguientes:

Registro de aplicacin: El registro de aplicacin contiene eventos registrados por los programas.
Por ejemplo, un programa de base de datos puede grabar un error de archivo en el registro de
aplicacin. Los desarrolladores del programa de software determinan los eventos que se escriben en el
registro de aplicacin.

Registro de seguridad: El registro de seguridad graba eventos como intentos vlidos y no vlidos de
inicio de sesin, as como eventos relacionados con el uso de recursos como crear, abrir o eliminar
archivos. Por ejemplo, cuando la auditora del inicio de sesin est habilitada, se graba un evento en el
registro de seguridad cada vez que un usuario intenta iniciar sesin en el equipo. Debe haber iniciado
sesin como Administrador o como miembro del grupo Administradores para poder activar, utilizar y
especificar qu eventos se grabarn en el registro de seguridad.

Registro del sistema: El registro del sistema contiene eventos grabados por los componentes del
sistema de Windows XP. Por ejemplo, si un controlador no se carga durante el inicio, se grabar un
evento en el registro del sistema. Windows XP determina previamente los eventos registrados por los
componentes del sistema.
Cmo ver los registros de eventos
Para abrir el Visor de eventos, siga estos pasos:
1.
Haga clic en Inicio y, despus, haga clic en Panel de control. Haga clic en Rendimiento y
mantenimiento y enHerramientas administrativas y, despus, haga doble clic en Administracin de
equipos. O bien, abra la consola MMC que contiene el complemento Visor de eventos.
2.
En el rbol de consola, haga clic en Visor de eventos.
Los registros de aplicacin, seguridad y sistema se mostrarn en la ventana Visor de eventos.

Cmo ver los detalles de un evento

Para ver los detalles de un evento, siga estos pasos:
1. Haga clic en Inicio y, despus, haga clic en Panel de control. Haga clic en Rendimiento y
mantenimiento y enHerramientas administrativas y, despus, haga doble clic
en Administracin de equipos. O bien, abra la consola MMC que contiene el complemento Visor
de eventos.
2. En el rbol de consola, expanda Visor de eventos y haga clic en el registro que contiene el evento
que desea ver.
3. En el panel de detalles, haga doble clic en el evento que desea ver.
Aparecer el cuadro de dilogo Propiedades del evento, que contiene informacin de encabezado y
una descripcin del evento.
Para copiar los detalles del evento, haga clic en el botn Copiar, abra un documento nuevo en el
programa en el que desee pegar el evento (por ejemplo, Microsoft Word) y haga clic en Pegar en el
men Edicin.
Para ver la descripcin del evento anterior o del evento siguiente, haga clic en la tecla FLECHA
ARRIBA o FLECHA ABAJO.
Cmo interpretar un evento
Todas las entradas de los registros estn clasificadas por tipo, y contienen informacin de encabezado y una
descripcin del evento.
Encabezado del evento
El encabezado contiene la siguiente informacin sobre el evento:
Fecha: Fecha en que se produjo el evento.
Hora: Hora en que se produjo el evento.
Usuario: Nombre del usuario que tena iniciada sesin cuando se produjo el evento.
Equipo: Nombre del equipo donde se produjo el evento.
Id. de evento: Nmero que identifica el tipo de evento. Los representantes de servicio tcnico puede
utilizar el Id. de evento para comprender mejor lo que ocurri en el sistema.
Origen: Origen del evento. Puede ser el nombre de un programa, un componente del sistema o un
componente individual de un programa grande.
Tipo: Tipo del evento. Puede ser uno de los cinco tipos siguientes: Error, Advertencia, Informacin,
Auditora de aciertos o Auditora de errores.
Categora: Clasificacin del evento por origen. Suele utilizarse en el registro de seguridad.
Tipos de eventos
La descripcin de cada evento registrado depende del tipo de evento. Todos los eventos de un registro
pueden clasificarse en uno de los tipos siguientes:

Informacin: Evento que describe el funcionamiento correcto de una tarea, como una aplicacin, un
controlador o un servicio. Por ejemplo, un evento Informacin se registra cuando se carga
correctamente un controlador de red.

Advertencia: Evento que no es necesariamente significativo; sin embargo, puede indicar la posible
existencia de un problema futuro. Por ejemplo, un mensaje Advertencia se registra cuando empieza a
quedar poco espacio de disco.

Error: Evento que describe un problema importante, como el error de una tarea crtica. Los eventos
de error pueden implicar prdida de datos o de funcionalidad. Por ejemplo, un evento Error se registra
si no se carga un servicio durante el inicio.

Auditora de aciertos (registro de seguridad): Evento que describe la correcta finalizacin de un

evento de seguridad auditado. Por ejemplo, un evento Auditora de aciertos se registra cuando un
usuario inicia sesin en el equipo.
Auditora de errores (registro de seguridad): Evento que describe un evento de seguridad auditado
que no se complet correctamente. Por ejemplo, se puede registrar un evento Auditora de errores
cuando un usuario no puede tener acceso a una unidad de red.

Cmo buscar eventos en un registro

La vista predeterminada de los registros de eventos es mostrar todas sus entradas. Si desea buscar un
evento determinado, o ver un subconjunto de eventos, puede buscar en el registro o puede aplicar un filtro a
los datos del registro.
Cmo buscar un evento determinado en un registro
Para buscar un evento determinado de un registro, siga estos pasos:
1.
Haga clic en Inicio y, despus, haga clic en Panel de control. Haga clic en Rendimiento y
mantenimiento y enHerramientas administrativas y, despus, haga doble clic en Administracin de
equipos. O bien, abra la consola MMC que contiene el complemento Visor de eventos.
2.
En el rbol de consola, expanda Visor de eventos y haga clic en el registro que contiene el evento
que desea ver.
3.
En el men Ver, haga clic en Buscar.
4.
Especifique las opciones para el evento que desea ver en el cuadro de dilogo Buscar y haga clic
en Buscar siguiente.
El evento que cumpla los criterios de bsqueda estar resaltado en el panel de detalles. Haga clic
en Buscar siguiente para encontrar la siguiente aparicin de un evento, segn definen los criterios de
bsqueda.
Cmo filtrar eventos de un registro
Para filtrar eventos de un registro, siga estos pasos:
1.
Haga clic en Inicio y, despus, haga clic en Panel de control. Haga clic en Rendimiento y
mantenimiento y enHerramientas administrativas y, despus, haga doble clic en Administracin de
equipos. O bien, abra la consola MMC que contiene el complemento Visor de eventos.
2.
En el rbol de consola, expanda Visor de eventos y haga clic en el registro que contiene el evento
que desea ver.
3.
En el men Ver, haga clic en Filtrar.
4.
Haga clic en la ficha Filtro (si no est ya seleccionada).
5.
Especifique las opciones de filtro que desee y haga clic en Aceptar.
En el panel de detalles slo aparecern los eventos que coincidan con los criterios del filtro.
Para volver a mostrar todas las entradas del registro, haga clic en Filtro en el men Ver y, a continuacin,
haga clic en Restaurar predeterminados.
Cmo administrar el contenido de un registro
De manera predeterminada, el tamao mximo inicial de un registro es 512 KB y cuando se llega a este
tamao, los eventos nuevos sobrescriben los antiguos. Dependiendo de sus requisitos, puede cambiar estos
valores o vaciar el contenido de un registro.
Cmo configurar el tamao del registro y las opciones de sobrEscritura
Para especificar el tamao del registro y las opciones de sobrescritura, siga estos pasos:

1. Haga clic en Inicio y, despus, haga clic en Panel de control. Haga clic en Rendimiento y
mantenimiento y
enHerramientas
administrativas y,
despus,
haga
doble
clic
en Administracin de equipos. O bien, abra la consola MMC que contiene el complemento Visor
de eventos.
2. En el rbol de consola, expanda Visor de eventos y haga clic con el botn secundario en el
registro para el que desee establecer el tamao y las opciones de sobrescritura.
3. En Tamao del registro, escriba el tamao que desee en el cuadro Mximo tamao de registro.
4. En Cuando se alcance el tamao mximo del registro, haga clic en la opcin de sobrescritura
que desee.
5. Si desea borrar el contenido del registro, haga clic en Vaciar registro.
6. Haga clic en Aceptar.
Cmo archivar un registro
Si desea guardar datos del registro, puede archivar los registros de eventos en cualquiera de los formatos
siguientes:

Formato de archivo de registro (.evt)

Formato de archivo de texto (.txt)

Formato de archivo de texto delimitado por comas (.csv)

Para archivar un registro, siga estos pasos:
1. Haga clic en Inicio y, despus, haga clic en Panel de control. Haga clic en Rendimiento y
mantenimiento y
enHerramientas
administrativas y,
despus,
haga
doble
clic
en Administracin de equipos. O bien, abra la consola MMC que contiene el complemento Visor
de eventos.
2. En el rbol de consola, expanda Visor de eventos, haga clic con el botn secundario en el registro
que desee archivar y, a continuacin, haga clic en Guardar archivo de registro como.
3. Especifique un nombre de archivo y una ubicacin donde desea guardar el archivo. En el
cuadro Guardar como tipo, haga clic en el formato que desee y, despus, haga clic en Guardar.
El archivo de registro se guardar en el formato especificado.
LA BITCORA DEL FIREWALL DE WINDOWS REVELA SUS SECRETOS (PRIMERA PARTE)
Hace algn tiempo tuve que resolver un caso de un ataque de hombre en medio (man in the middle) que
afect la mayor parte de los equipos de una organizacin a travs de otro ataque, conocido como DHCP
rogu [1]. El equipo de respuesta a incidentes tom la decisin de apagar el dispositivo para contener el
ataque lo antes posible y nos solicit realizar el anlisis forense.
Gracias a que se pudo obtener una imagen forense del equipo atacante y a que la herramienta utilizada dej
bitcoras, se logr determinar qu dispositivos fueron afectados, cundo y por cunto tiempo. Sin embargo,
este caso no hubiera podido resolverse si la herramienta usada para realizar el DHCP rogue (conocido
tambin como DHCP spoofing) no dejara bitcoras, a menos que estuviera habilitado el log del firewall de
host de los equipos afectados.
En este artculo veremos cmo se usa el log del firewall de host para identificar ataques informticos
provenientes de la red interna, que por su propia naturaleza no pueden ser identificados por los dispositivos
de seguridad perimetrales, incluyendo el ataque DHCP y varios otros.
Antes de explicar las ventajas de habilitar este log, es necesario recordar algunos conceptos bsicos:
Qu es un firewall?: es software o hardware que comprueba la informacin procedente de la red y, a
continuacin, bloquea o permite el paso de esta en funcin de reglas preestablecidas por el administrador.
Qu es un IDS?: es software o hardware con la capacidad de identificar (pero no prevenir) ataques
informticos y generar alertas con la informacin del ataque, para que un operador tome la accin
adecuada.
Qu es un IPS?: adems de contar con la funcionalidad propia de un IDS, tiene la capacidad de detener
ataques de forma configurable y automatizada, es decir, sin la necesidad de interaccin externa.

Los tres dispositivos mencionados pueden implementarse en la red o en los hosts y por lo general generan
bitcoras de actividad. Normalmente los de red se colocan en un punto neurlgico de la red, tpicamente el
permetro, y los de host se pueden implementar en los equipos finales (computadoras personales y
servidores) de la organizacin.
En la actualidad no se concibe una organizacin mediana o grande que carezca de un firewall y un IDS/IPS
en el permetro de su red, ya que contribuyen de manera significativa a reducir el nivel de riesgo de sufrir
ataques informticos.
Las grandes corporaciones tienen mltiples dispositivos de este tipo, ubicados en diferentes puntos de la
red, que permiten implementar un esquema de seguridad en profundidad, pero la gran mayora de las
organizaciones solo cuenta con estos dispositivos en el permetro debido al gran costo que implica.
En este escenario, qu ocurre con los ataques que vienen de nuestra propia organizacin? El trfico
generado por estas amenazas ni siquiera pasar por los dispositivos ubicados en el permetro y por lo tanto
no podrn ser identificadas ni, mucho menos, detenidas.
Qu pasa si un empleado de la organizacin infecta va memoria USB su equipo de cmputo con
un malware que comienza a realizar escaneos y otro tipo de ataques en la red interna? Qu sucede si un
atacante logra accesar mediante una red inalmbrica con cifrado vulnerable, para luego efectuar un
ataque man in the middle va DHCP rogue? Muy probablemente no ser detectado por los dispositivos
perimetrales. En todos estos casos la bitcora del firewall de los equipos finales puede proveer informacin
valiosa para identificar los ataques.
Por ser Windows el sistema operativo ms ampliamente utilizado, a continuacin veremos cmo habilitar
el log delfirewall de este sistema operativo, y algunos ejemplos de ataques que pueden ser identificados con
esta valiosa fuente de informacin.
En primer lugar es necesario decidir si se desea registrar el trfico aceptado, el rechazado, o ambos.
Aconsejo habilitar ambos. Para ello, hay que abrir una terminal de comandos (cmd.exe) con privilegios de
administrador y ejecutar:
netsh firewall set logging droppedpackets = enable connections = enable
A continuacin debemos preguntarnos Cunto espacio estoy dispuesto a destinar para almacenar las
bitcoras? La respuesta estar en funcin de la cantidad de trfico que pase por el dispositivo, su
capacidad de almacenamiento, nivel de criticidad y su rendimiento. Se puede iniciar con 20 MB para
equipos finales y luego modificar el tamao de acuerdo con las necesidades de cada caso. Cuando el
archivo llegue al tamao mximo, se sobreescribir la informacin anterior y ya no podr ser recuperada.
El comando es el siguiente:
netsh firewall set logging maxfilesize = 20000
Esos dos sencillos pasos bastarn para comenzar a registrar los eventos del firewall de Windows. De
manera predeterminada el archivo se ubica en la ruta: C:\Windows\System32\LogFiles\Firewall.
La bitcora es simple y tiene dos secciones, la primera es de directivas y la segunda consta de registros
de eventos. Las directivas indican la versin de la bitcora, que fue generada por el firewall de Windows,
con la fecha y hora que se toman del sistema local y los campos que contiene. Esta informacin ser de
suma importancia cuando se interprete su contenido como parte de un anlisis forense. Por ejemplo:

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn
tcpack tcpwin icmptype icmpcode info path
2013-01-11 12:05:00 ALLOW UDP 172.30.1.1 172.30.1.2 65102 1947 0 - - - - - - - SEND
Ahora veremos cmo identificar, por medio de la bitcora del firewall de Windows, dos ejemplos de
ataques informticos:
1.- Escaneos de puertos realizado con nmap, desde la direccin IP 192.168.220.141 (atacante) a la
direccin IP 192.168.220.1 (vctima).

Como indicios de actividad sospechosa se observa la gran cantidad de paquetes eliminados

(sentencia DROP) en un periodo de 11 segundos. Adems es posible determinar que el tipo de escaneo
es sync, ya que en la seccin de banderas TCP, la s se encuentra habilitada.
2.- Gusanos, mala configuracin y otro tipo de malware pueden provocar que se genere una gran
cantidad de paquetes en la red, que provocan una degradacin en el ancho de banda y en la calidad de
los servicios.
En el siguiente ejemplo se observa que el equipo con IP 172.30.19.142 est enviando al equipo local
paquetes del protocolo SSDP (puerto 1900) y en tres segundos gener siete peticiones SSDP (puerto
1900), que son demasiadas. En el resto de la bitcora se manifiesta que esta situacin se mantiene, pero
no entrar en detalles por falta de espacio. Adems, en algunas ocasiones la direccin IP destino

es broadcast(255.255.255.255) y en otras multicast (239.255.255.250), lo que constituye otro indicio de

actividad sospechosa.
RECEIVE
2013-01-11 13:48:52 DROP UDP 172.30.19.162 255.255.255.255 58867 1211 128 - - - - - - RECEIVE
2013-01-11 13:48:52 DROP UDP 172.30.19.162 239.255.255.250 1900 1900 543 - - - - - - RECEIVE
2013-01-11 13:48:52 DROP UDP 172.30.19.162 239.255.255.250 1900 1900 529 - - - - - - RECEIVE
2013-01-11 13:48:52 DROP UDP 172.30.19.162 239.255.255.250 1900 1900 527 - - - - - - RECEIVE
2013-01-11 13:48:53 DROP UDP 172.30.19.162 239.255.255.250 1900 1900 463 - - - - - - RECEIVE
2013-01-11 13:48:53 DROP UDP 172.30.19.162 239.255.255.250 1900 1900 472 - - - - - - RECEIVE
2013-01-11 13:48:53 DROP UDP 172.30.19.142 239.255.255.250 49933 1900 161 - - - - - - RECEIVE
Con la informacin de la bitcora y algunas herramientas de anlisis, es posible determinar la fecha y hora
del primer y ltimo paquete enviado, as como la suma del tamao de todos los paquetes, que equivale a la
cantidad de ancho de banda consumido. En particular, se determin que este evento produjo 3,320
paquetes en un periodo de cuatro horas, todos ellos con accin DROP.
En el siguiente artculo explicar cmo analic y resolv el ataque DHCP que mencion al inicio. Tambin
revisar escenarios avanzados de este ataque, como el uso de tcnicas antiforenses, que pueden ser
resueltos con el anlisis de las bitcoras del firewall de Windows y Linux.
Como ver una lista de todos los programas instalados en Windows

Toca hacer limpieza del ordenador? No ests segur de qu versin de cierto programa tienes
instalada? Para que no tengamos que recurrir al mtodo de abrir uno por uno los programas que
tenemos instalados para ver qu versin tenemos o fijarnos en el apartado de Instalar/Desinstalar
Programas para ver una lista completa de lo que tenemos, existen un par de mtodos ms rpidos y
que nos darn una lista completa, incluyendo la versin de cada programa instalado en nuestro
ordenador.
La primera manera de comprobar qu es lo que hay instalado requiere el uso de la lnea de comandos.
Podemos escribir simplemente CMD, en Windows XP, 7 u 8, para abrir la lnea de comandos.
Seguidamente escribiremos el siguiente comando, respetando los espacios y dando Enter luego del
primer comando WMIC:
WMIC
product get name,version
Si queremos exportar la lista a un archivo de texto, debemos hacer unas modificaciones y los comandos
que tendremos que escribir quedarn de la siguiente manera:
WMIC
/output:D:\installedapps.txt product get name,version
Sin embargo, lo anterior no nos dar una lista tan completa como la opcin Programas y caractersticas
del CCleaner. A travs de la opcin Herramientas y de la opcin Desinstalar, podremos ver, ahora s,
una lista ms completa que incluye los programas portables, libreras o programas que no cuentan con
desinstalador. Adems se incluirn algunos datos ms, como lo que ocupa el programa en disco y el
nombre del desarrollador, adems de la versin.
Iniciar el visor de eventos-WINDOWS 7
Se aplica a: Windows 7, Windows Server 2008 R2, Windows Vista
El visor de eventos es un complemento de Microsoft Management Console (MMC). Puede iniciar el visor
de eventos si agrega el complemento a MMC o si hace doble clic en el archivo del complemento,
Eventvwr.msc, que est ubicado en la carpeta %SYSTEMROOT%\system32. Adems, el visor de
eventos puede iniciarse desde la interfaz de Windows o desde la lnea de comandos con los siguientes
procedimientos.
Para iniciar el visor de eventos mediante la interfaz de Windows
1.
Haga clic en el botn Inicio.
2.
Haga clic en Panel de control.
3.
Haga clic en Sistema y mantenimiento.
4.
Haga clic en Herramientas administrativas.
5.
Haga doble clic en Visor de eventos.
Para iniciar el visor de eventos mediante una lnea de comandos
1. Abra un smbolo del sistema. Para abrir un smbolo del sistema, haga clic en Inicio,
seleccione Todos los programas, Accesorios y, a continuacin, haga clic en Smbolo
del sistema.

2. Escriba eventvwr.
La herramienta de la lnea de comandos eventvwr.exe admite opciones que determinan el
equipo al que se conectar el complemento y los registros de eventos que mostrar. Si se
conecta a un equipo que ejecuta una versin anterior de Windows, la herramienta puede
usarse para iniciar el complemento y conectarse al equipo remoto, pero las opciones de la
lnea de comandos adicionales se omiten.
Visor de Sucesos Windows 7

Si ALgun dia tienes ALgun Problema Con Tu Hermana, Amigos, o Arguna Otra Persona que hayan
entrado a Tu PC y le estas Reclamando algo malo, o algo raro que te Hicieron a TU PC, QUIERES
SABER como darte cuenta de todo lo que hayan Echo Ellos en TU PC ?
Con Este Sistema de Windows Podemos Ver Todos los Sucesos de las Personas que entran a Nuestra
PC, Desde el Primer Programa que haya abierto hasta el Ultimo, y Por si fuera Poco te da la hora que lo
hicieron y todo, Para que tengas una constancia en tus Reclamos, Espero que le sirva.
Para Abrir el Visor de Sucesos Hacer Esto:
1 Inicio
2 Clic Derecho en Mi Computer
3 Administrar
4 Y Visor de Sucesos,
Cmo encuentro registros de eventos cuando se bloquea un programa?
Cuando se bloquea un programa (el proceso ha dejado de funcionar o desaparece), un archivo de
registro de eventos puede resultar til al equipo de desarrollo para solucionar problemas. Siga los pasos
siguientes para encontrar registros de eventos:
Windows 7:
1. Haga clic en el botn Inicio de Windows > Escriba evento en el campo Buscar programas y
archivos.

2. Seleccione Visor de eventos

3. Acceda a Registros de Windows > Aplicacin y busque el evento ms reciente que tenga
Error en la columna Nivel y Error de aplicacin en la columna Origen

1. Copie el texto en la ficha General.

2. Abra el Bloc de notas, pegue el texto y guarde el registro como .txt.
3. Tambin puede tomar una captura de toda la pantalla y guardarla como
archivo .jpg.
Pasos para tomar una captura de pantalla:
a) Para tomar una captura de pantalla, pulse la tecla "Impr Pant" del teclado
cuando aparezca este error.
b) A continuacin, vaya a Inicio > Programas > Accesorios > Paint.
c) Pegue la captura de pantalla pulsando "Ctrl+V" o Alt+Editar+Pegar.
d) Guarde el archivo como .jpeg y envenoslo para que lo analicemos.
4. Envenos el registro (.txt o .jpg)
Windows Vista:
Panel de control > Herramientas administrativas > Visor de eventos > Registros de
Windows > Aplicacin > Haga clic en el evento de tipo "Error" > Copie el texto en la ficha
General y envenoslo.
Windows XP:

Panel de control > Herramientas administrativas > Visor de eventos > Aplicacin > Haga
clic en el evento de tipo "Error" > Copie el texto en la ficha General y envenoslo.