Monitorizacin y optimizacin del rendimiento en Windows 2000

Prctica A: Uso del Administrador de tareas y del Visor

de sucesos
Objetivos
En este laboratorio, aprenderemos a:
n

Monitorizar el rendimiento de las aplicaciones utilizando el Administrador

de tareas

Cerrar aplicaciones utilizando el Administrador de tareas

Examinar la actividad del equipo utilizando el Visor de sucesos

Administrar los registros de sucesos

Encontrar informacin en registros de sucesos

Requisitos previos
Antes de empezar a trabajar en este laboratorio, debera tener:
n

Conocimientos sobre la seguridad de los archivos en Windows 2000.

Conocimientos sobre la monitorizacin de la seguridad en Windows 2000.

Configuracin del laboratorio

n

Para poder realizar la prctica es necesrio disponer de equipos con el

sistema operativo Windows 2000.

Cada equipo deber tener creado un directorio de nombre monitorizacion

en el que se debern copiar los ficheros asociados a esta prctica. Cuando
se hace referencia a este directorio se ha omitido intencionadamente el
nombre de la unidad porque puede variar segn cada laboratorio.

Monitorizacin y optimizacin del rendimiento en Windows 2000

Ejercicio 1
Monitorizacin de aplicaciones con el Administrador de tareas
Escenario
Usted administra un equipo que ejecuta Windows 2000. Sus responsabilidades incluyen
monitorizar el rendimiento y su seguridad. Est preocupado porque el rendimiento ha disminuido
recientemente. Sospecha que una de las aplicaciones que est ejecutndose utiliza una cantidad
desproporcionada de recursos del sistema. Necesita averiguar qu aplicacin est causando los
problemas para poder solucionarlos.

Objetivo
En este ejercicio, ejecutar varios programas en su equipo y utilizar el Administrador de tareas
para determinar qu recursos del sistema utilizan los programas que se ejecutan en su equipo. A
continuacin, utilizar el Administrador de tareas para detener un programa.
Tareas
1.

2.

Pasos detallados

Inicie sesin como

Administrador, y ejecute
aplicaciones.cmd de la
carpeta monitorizacion.

a.

Inicie sesin como Administrador.

b.

En Explorador de Windows, abra la carpeta monitorizacion, y haga

doble clic en aplicaciones.cmd para iniciar varios programas.

c.

Cierre Explorador de Windows.

Utilice el Administrador de
tareas para determinar qu
aplicacin utiliza recursos
del sistema en exceso y
cules son estos recursos.

a.

Presione CTRL+ALT+SUPRIMIR, y haga clic en Administrador de

tareas.

b.

En la ficha Aplicaciones , compruebe qu programas se estn

ejecutando.

Contiene la lista algn proceso del sistema operativo? Por qu?

No. La lista no contiene ningn proceso del sistema operativo porque la ficha Aplicaciones ni camente
muestra procesos que se estn ejecutando en el contexto de seguridad del usuario actual.

2.

(continuacin)

c.

Haga clic en la ficha Rendimiento.

Monitorizacin y optimizacin del rendimiento en Windows 2000

Tareas

Pasos detallados

Qu recursos del sistema se utilizan en exceso?

El uso de CPU es del 100 por cien o casi del 100 por cien.

2.

(continuacin)

d.

Haga clic en la ficha Procesos .

Qu proceso muestra el uso ms alto de CPU? Supone un problema?

App1-5 tiene el uso de CPU ms alto. Esto podra suponer un problema puesto que el uso de CPU de
este programa impide que otros programas obtengan tiempo de procesador.

Qu proceso ha utilizado la mayor parte del tiempo de CPU desde que ha iniciado su equipo? Supone un
problema? Por qu?
El Proceso Inactivo de Sistema ha utilizado la mayor parte del tiempo de CPU. Esto no supone un
problema, ya que el tiempo que muestra el Proceso Inactivo de Sistema indica que el procesador del
equipo no estaba ocupado.

2.

(continuacin)

e.

En el men Ver, haga clic en Seleccionar columnas.

f.

En el cuadro de dilogo Seleccionar columnas , seleccione las cajas de

verificacin de Bytes de lectura de E/S y Bytes de escritura de E/S, y
haga clic en Aceptar.

g.

Arrastre el borde de la ventana del Administrador de tareas de

Windows hacia la derecha para poder ver todas las columnas.

Monitorizacin y optimizacin del rendimiento en Windows 2000

Tareas

Pasos detallados

Tiene App1-5 una carga pesada en el disco duro?

App1-5 no tiene una carga pesada en el disco duro.

3.

Cierre los programas

App1-1.exe, App1-2.exe,
App1-3.exe, App1-4.exe, y
App1-5.exe utilizando el
Administrador de tareas.

a.

Haga clic con el raton derecho en App1-5.exe, y en Terminar

proceso.

b.

En el cuadro de dilogo Advertencia del Administrador de tareas,

lea la advertencia y haga clic en S.

c.

Cierre App1-1.exe, App1-2.exe, App1-3.exe y App1-4.exe utilizando

el Administrador de tareas, y cirrelo.

Monitorizacin y optimizacin del rendimiento en Windows 2000

Ejercicio 2
Examen de la actividad del equipo utilizando el Visor de sucesos
Escenario
Para estar seguro de que su equipo se ejecuta sin problemas, utilice regularmente el Visor de
sucesos para comprobar la actividad del sistema durante la ltima semana. Adems, la poltica de
seguridad de su compaa exige que revise y archive los registros de sistema de su equipo cada
semana.

Objetivo
En este ejercicio, revisar los archivos de registro de Windows 2000, configurar los archivos de
registro y archivar uno.
Tareas
1.

Utilice el Visor de sucesos

para averiguar cuando se
inici el equipo por ltima
vez.

Pasos detallados
a.

Abra el Visor de sucesos en el men Herramientas administrativas.

b.

En el rbol de consola, haga clic en Registro del sistema si es

necesario.

c.

En el panel de detalles, encuentre el suceso ms reciente con eventlog

como origen, y haga doble clic en el suceso.

Nota: Windows 2000 inicia automticamente el servicio de registro de sucesos cada vez que se inicia el
equipo. El momento en que se inicia el servicio de registro de sucesos es aproximadamente el instante en que
se inicia el equipo.
1.

(continuacin)

d.

Haga clic en Aceptar para cerrar el cuadro de dilogo Propiedades

del suceso.

e.

Revise los tipos de sucesos de cada registro de sucesos.

f.

No cierre el Visor de sucesos.

Monitorizacin y optimizacin del rendimiento en Windows 2000

Ejercicio 3
Archivar el registro de aplicacin
Escenario
La directiva de seguridad de su compaa requiere que revise y archive el registro de aplicacin
semanalmente.

Objetivo
En este ejercicio, archivar el registro de aplicacin de su equipo.

Tareas
1.

Guarde el archivo del

Registro de aplicacin como
aaaa-mm-dd.evt (siendo
aaaa el ao actual, mm las
dos primeras letras del mes
actual y dd la fecha actual)
en la carpeta
monitorizacion, y borre el
Registro de aplicacin.

Pasos detallados
a.

En el Visor de sucesos, en el rbol de consola, haga clic en Registro

de aplicacin.

b.

En el men Accin, haga clic en Guardar archivo de registro como.

c.

En el cuadro de dilogo Guardar Aplicacin como, en el cuadro

Guardar en, abra la carpeta monitorizacion, y guarde el archivo de
Registro de aplicacin como aaaa-mm-dd.evt (siendo aaaa el ao
actual, mm las dos primeras letras del mes actual y dd la fecha actual).

d.

En el men Accin, haga clic en Borrar todos los sucesos.

e.

En el mensaje del Visor de sucesos , haga clic en No para borrar los

sucesos sin guardarlos.

Monitorizacin y optimizacin del rendimiento en Windows 2000

Ejercicio 4
Bsqueda de sucesos especficos en un archivo
Escenario
El departamento de seguridad de su compaa sospecha que en el pasado se viol la seguridad de la
red en varias ocasiones. Le han solicitado que revise los registros de seguridad archivados para
obtener posibles pruebas de esas acciones. El departamento de seguridad necesita informacin
sobre cualquier caso de usuarios no autorizados que hayan intentado acceder a los archivos de la
carpeta Proyectos.

Objetivo
En este ejercicio, filtrar sucesos especficos y buscar en el Registro de seguridad casos de acceso
a la carpeta Proyectos.

Tareas
1.

Abra el archivo guardado

del registro de seguridad
eventos.evt almacenado en
la carpeta monitorizacion, y
visualice las primeras
entradas.

Pasos detallados
a.

En el rbol de consola, haga clic con el botn derecho en Visor de

sucesos (Local), y haga clic en Abrir archivo de registro.

b.

En el cuadro de dilogo Abrir, en el cuadro Buscar en, vaya a la

carpeta monitorizacion si es necesario, y haga clic en eventos.evt .

c.

En el cuadro Tipo, haga clic en Seguridad, y clic en Abrir.

d.

Haga doble clic en el primer suceso del registro.

e.

Visualice la informacin del suceso de seguridad y haga clic en la

flecha hacia abajo para ir al siguiente suceso.

Examina cada suceso la forma ms eficaz de buscar sucesos especficos?

No. Debido a la gran cantidad de sucesos incluidos en los registros, necesitar algn modo de filtrar
los sucesos que no le interesan en la presente bsqueda.

1.

(continuacin)

f.

Haga clic en Cancelar para cerrar el cuadro de dilogo Propiedades

del suceso.

2.

Filtre las entradas del

registro para que nicamente
aparezcan sucesos de error
y, a continuacin, ordene las
entradas por categora.

a.

En el rbol de consola, haga clic con el botn derecho en Se ha

guardado el registro de seguridad, seleccione Ver, y haga clic en
Filtro.

b.

En el cuadro de dilogo Propiedades de seguridad del Se ha

guardado el registro de seguridad, en Tipos de suceso, deseleccione
todas las cajas de verificacin excepto la de Auditora de errores y
haga clic en Aceptar.

c.

Haga clic en la cabecera de la columna Categora para ordenar las

entradas del registro.

Monitorizacin y optimizacin del rendimiento en Windows 2000

Tareas
3.

Busque el registro de
seguridad guardado de
sucesos que indiquen un
intento no autorizado de
acceso a la carpeta
E:\Projects. Averige qu
usuario ha intentado acceder
a la carpeta y si slo ha
ocurrido una vez.

Pasos detallados
a.

Haga clic con el botn derecho en Se ha guardado el registro de

seguridad, seleccione Ver, y haga clic en Buscar.

b.

En el cuadro de dilogo Buscar en Se ha guardado el registro de

seguridad local , en Tipos de suceso, deseleccione todas las cajas de
verificacin excepto la de Auditora de errores .

c.

En el cuadro Id. del suceso, escriba 560

Nota: El Id. de suceso 560 indica un fallo en el acceso a un objeto, como un archivo o un directorio.

3.

(continuacin)

d.

En el cuadro Descripcin, escriba e:\projects y haga clic en Buscar

siguiente para realizar una bsqueda entre los sucesos.
Se resaltar el siguiente suceso que cumpla los criterios de
bsqueda. Como este registro se guard en un equipo que no
pertenece a su red, Windows 2000 no puede resolver el
identificador de seguridad (SID) a un nombre de usuario. Por
ello, la columna Usuario muestra el SID.

e.

Vuelva al cuadro de dilogo Buscar en Se ha guardado el registro de

seguridad local si es necesario y, en Visor de sucesos, haga doble clic
en el suceso resaltado para abrir.

Basndose en la informacin de la seccin de descripcin del suceso, cul es el nombre de usuario principal
del usuario que intent acceder a la carpeta?
User1.

3.

(continuacin)

f.

Haga clic en Cancelar para cerrar el cuadro Propiedades del suceso.

g.

Haga clic con el botn derecho en Se ha guardado el registro de

seguridad, seleccione Ver, y haga clic en Todos los registros .

h.

Haga clic con el botn derecho en Se ha guardado el registro de

seguridad, seleccione Ver, y haga clic en Buscar.

i.

En el cuadro de dilogo Buscar en Se ha guardado el registro de

seguridad local , en Tipos de suceso, deseleccione todas las cajas de
verificacin salvo la de Auditora de errores .

j.

En el cuadro Id. del suceso, compruebe que aparece 560.

k.

En el cuadro Descripcin, escriba User1 y haga clic en Buscar

siguiente .

l.

Haga clic en Buscar siguiente repetidamente hasta que aparezca el

mensaje Visor de sucesos avisndole de que ha llegado al final del
registro de sucesos.

m. En el cuadro de dilogo Visor de sucesos , haga clic en No para

suspender la bsqueda desde el principio del registro.

Monitorizacin y optimizacin del rendimiento en Windows 2000

Tareas

Pasos detallados

Ha sido un intento de una nica vez o varias veces?

User1 intent acceder a la carpeta varias veces, puesto que hay varios sucesos registrados.

4.

Busque sucesos que

indiquen que User1 pudo
acceder a la carpeta
E:\Projects.

a. En el cuadro de dilogo Buscar en Se ha guardado el registro de

seguridad local, en Tipos de suceso, deseleccione todas las cajas de

verificacin salvo la de Auditora de aciertos.
b. En el cuadro Id. del suceso, compruebe que aparece 560.
c. En el cuadro Descripcin, compruebe que aparece User1, y haga clic

en Buscar siguiente.
d. Haga doble clic en el suceso resaltado para abrirlo.
e. Examine los detalles del suceso para familiarizarse ms con la

informacin disponible en cada suceso registrado, y haga clic en

Aceptar para cerrar el cuadro de dilogo Propiedades del suceso.
f.

Haga clic en Cerrar para cerrar el cuadro de dilogo Buscar en Se ha

guardado el registro de seguridad local.

Monitorizacin y optimizacin del rendimiento en Windows 2000

10

Ejercicio 5
Guardar un archivo del Registro de seguridad con otro formato
de archivo
Escenario
El departamento de seguridad de su compaa ha solicitado un registro de una reciente violacin de
seguridad en uno de los servidores. Le han solicitado esta informacin en formato de archivo de
texto delimitado por comas y as poder importar la informacin a Microsoft Excel para su posterior
anlisis.

Objetivo
En este ejercicio, guardar el archivo del registro de seguridad guardado anteriormente como un
archivo de texto delimitado por comas.
Tareas
1.

Guarde el registro de
seguridad en formato
delimitado por comas
Seclog.csv en la carpeta
monitorizacion, y utilice
Notepad para visualizar este
archivo.

Pasos detallados
a.

En el rbol de consola, haga clic con el botn derecho en Se ha

guardado el registro de seguridad, y haga clic en Guardar archivo
de registro como.

b.

En el cuadro de dilogo Guardar Se ha guardado el registro de

seguridad como, en el cuadro Buscar, vaya a la carpeta
monitorizacion si es necesario, y en el cuadro Nombre del archivo,
escriba Seclog

c.

En el cuadro Guardar como tipo, haga clic en CSV (Delimitado por

comas) (*.csv), y haga clic en Guardar.

d.

Cierre el Visor de sucesos.

e.

Haga clic en Inicio, y clic en Ejecutar.

f.

En e cuadro de dilogo Abrir, escriba Notepad.exe

monitorizacion\Seclog.csvy haga clic en Aceptar.

g.

Maximice Notepad.

h.

En el men Edicin, haga clic en Buscar .

i.

En el cuadro de dilogo Buscar, escriba e:\projects y haga clic en

Buscar siguiente.

j.

En el cuadro de dilogo Buscar, haga clic en Cancelar.

k.

Cierre Notepad, y cierre la sesin.