Monitorización de sucesos

Un suceso es cualquier acontecimiento relevante que se produce en el sistema (o en una aplicación). Algunos sucesos especialmente importantes se notifican mediante mensajes en pantalla, pero los sucesos que no requieren atención inmediata se anotan en un registro de sucesos. La operación de registro se activa automáticamente cada vez que se inicia el programa SunLink Server y la visualización del archivo del registro mediante SunLink Server Manager permite detectar y resolver problemas, y llevar el control de los sucesos de seguridad de SunLink Server.

El software de SunLink Server anota los sucesos en los siguientes tipos de registros:

• Registro del sistema - Contiene los sucesos registrados por los componentes del sistema SunLink Server. Por ejemplo, cualquier fallo en la ejecución de un servicio durante el inicio queda anotado en el registro. Los tipos de sucesos que registra el sistema vienen determinados por el programa SunLink Server.

• Registro de seguridad - Puede contener intentos válidos o fallidos de inicios de sesión, así como cualquier suceso relacionado con el uso de recursos, como la creación, apertura o eliminación de archivos u otros objetos.

• Registro de aplicación - Contiene sucesos registrados por las aplicaciones. Por ejemplo, un programa de gestión de bases de datos puede anotar un error de archivo en este registro. Son los desarrolladores de las aplicaciones los que deciden qué sucesos deben registrarse.

Todos los usuarios pueden ver el contenido de los registros del sistema y de aplicación, pero el registro de seguridad sólo está disponible para los administradores del sistema.

Interpretación de los sucesos

Los registros de sucesos constan de una cabecera, una descripción (basada en el tipo de suceso) y otros datos adicionales. La mayoría de las entradas del registro de seguridad sólo constan de la cabecera y la descripción.

SunLink Server Manager muestra los sucesos de cada registro por separado y cada línea contiene información sobre un suceso, lo que incluye la fecha y hora en que se produjo, el origen, la categoría, el ID de suceso, la cuenta de usuario y el nombre del equipo.

Cabecera del suceso

La cabecera de los sucesos contiene la siguiente información:

• Fecha - Día en el que se produjo el suceso.

• Hora - Hora a la que se produjo.

• Origen - Módulo de software que registró el suceso, que puede ser un nombre de aplicación, o bien un componente del sistema o de una aplicación de gran tamaño, por ejemplo, un nombre de servicio.

• Categoría - Clasificación del suceso por su origen. Esta información se utiliza principalmente en el registro de seguridad.

• Suceso - Número que identifica cada tipo de suceso en particular. La primera línea de la descripción contiene normalmente el nombre del tipo de suceso. Por ejemplo, 6005 es el ID del suceso que tiene lugar cuando se inicia el servicio de registro. La primera línea de descripción de tal suceso es "The Event log service was started". El ID y el origen del suceso sirven al personal de soporte técnico para detectar y resolver problemas del sistema.

• Usuario - Nombre de usuario de la cuenta por cuya causa se ha producido el suceso. Si éste no ha sido registrado por un usuario, se muestra el ID de seguridad de la entidad que efectúa el registro.

• Equipo - Nombre del equipo en el que ha tenido lugar el suceso.

Descripción del suceso

El formato y contenido de la descripción de los sucesos varía en función del tipo al que pertenecen. La descripción suele ser la parte más útil de la información, ya que indica lo que ha ocurrido o la importancia del suceso.

Tipos de sucesos

Los registros de SunLink Server Manager indican los tipos de sucesos siguientes:

• Error - Problemas relevantes, como la pérdida de datos o de funciones. Un ejemplo de suceso de error puede generarse si un servicio no se carga durante el inicio de SunLink Server.

• Advertencia - Sucesos que no son necesariamente relevantes, pero que podrían ser síntoma de problemas en el futuro. Un suceso de advertencia puede generarse, por ejemplo, si se están agotando recursos básicos del servidor.

• Información - Sucesos relevantes que no son habituales y describen operaciones realizadas correctamente por los servicios más importantes del servidor. Por ejemplo, si un servicio se inicia correctamente, se registrará como suceso de información.

• Auditoría de éxitos - Intentos de acceso de seguridad realizados con éxito. Por ejemplo, si un usuario consigue iniciar una sesión en el sistema correctamente, puede registrarse como suceso de auditoría de éxitos.

• Auditoría de fallos - Intentos de acceso de seguridad registrados como fallidos. Por ejemplo, si un usuario ha intentado acceder a una unidad de red sin conseguirlo, el intento puede quedar registrado como suceso de auditoría de fallos.

Datos adicionales

El campo de datos contiene datos binarios que pueden mostrarse en bytes o palabras. La aplicación que provoca el registro del suceso genera esta información. Dado que los datos aparecen en formato hexadecimal, solamente resultan significativos para las personas que conocen en profundidad la aplicación de origen.

Uso de SunLink Server Manager para ver los sucesos

Existe la posibilidad de elegir el registro que se va a visualizar (sistema, seguridad o aplicaciones) dentro del grupo Sucesos de SunLink Server Manager.

• Selección de un registro - Haga doble clic en el icono del registro correspondiente a los sucesos que desea ver. Aunque la primera vez que se inicia SunLink Server Manager aparecen los registros de la máquina local, pueden verse los de cualquier sistema SunLink Server una vez que se ha iniciado la sesión en él.

• Actualización de la vista - Al abrir por primera vez un archivo de registro, SunLink Server Manager muestra los últimos datos recopilados. Esta información no se actualiza automáticamente, sino que es preciso elegir el comando Actualizar del menú Vista para ver los sucesos más recientes y eliminar las entradas antiguas.

• Visualización de detalles sobre los sucesos - En muchos casos, puede verse más información sobre los sucesos haciendo doble clic sobre ellos. El cuadro de diálogo Detalles del suceso muestra un texto descriptivo del suceso seleccionado, junto con cualquier dato binario disponible. Esta información es generada por la aplicación que ha originado el registro del suceso. Dado que se encuentra en formato hexadedimal, sólo resulta significativa para las personas que conozcan en profundidad la aplicación de origen. No todos los sucesos generan este tipo de datos.

  ---

  Nota -

  Para controlar los tipos de sucesos de seguridad que deben auditarse, es preciso establecer el plan de auditoría mediante las herramientas de Windows NT. No debe utilizar SunLink Server Manager para establecer este plan, lo que significa que esta guía no incluye instrucciones para hacerlo.

  ---

Uso de los registros de sucesos para detectar y resolver problemas

Una cuidadosa monitorización de los registros de sucesos puede ayudar a prever e identificar el origen de los problemas producidos en el sistema. Los registros también pueden servir para confirmar problemas relativos al software de Windows NT. Si una aplicación de Windows NT se bloquea, el registro de sucesos puede suministrar información sobre la actividad que ha provocado el suceso.

Éstas son las directrices para utilizar los registros de sucesos en el diagnóstico de problemas:

• Determine la frecuencia con que se produce un error. Si un determinado suceso parece estar relacionado con problemas del sistema, examine el registro para localizar otros casos del mismo suceso o para averiguar la frecuencia de un error.

• Anote los ID de los sucesos. Estos números corresponden a una descripción en un archivo de mensajes. Los representantes del servicio técnico pueden utilizar este número para averiguar lo que ha ocurrido en el sistema.

Monitorización de los sucesos de seguridad de SunLink Server

La auditoría de sucesos se activa desde el cuadro de diálogo Plan de auditoría del Administrador de usuarios para dominios de Windows NT. La auditoría permite llevar el control de los sucesos de seguridad de SunLink Server y especificar si debe escribirse una entrada de auditoría en el registro de sucesos de seguridad cada vez que se realizan determinadas acciones o se accede a ciertos archivos.

Las entradas de auditoría muestran la actividad realizada, el usuario responsable, y la fecha y hora en que tuvo lugar. Pueden auditarse los intentos fallidos y los realizados con éxito. En el resultado de la auditoría es posible ver quién ha llevado a cabo acciones en la red y quién ha intentado realizar actividades no permitidas.

La auditoría de sucesos no se efectúa de forma predeterminada. Si posee permisos de administrador, puede especificar los tipos de sucesos del sistema que deben auditarse utilizando la herramienta Administrador de usuarios para dominios de Windows NT.

El Plan de auditoría determina la cantidad y el tipo de sucesos de seguridad que debe registrar el software de SunLink Server. En el caso de acceso a archivos y objetos, puede especificar qué archivos e impresoras deben monitorizarse, qué tipos de accesos a archivos y objetos, y en relación con qué usuarios o grupos. Por ejemplo, si activa la opción Acceso a archivos y objetos, puede utilizar la ficha Seguridad del cuadro de diálogo Propiedades de un archivo o carpeta (accediendo mediante el Examinador) para especificar los archivos que deben auditarse y el tipo de acceso que se tendrá en cuenta para la auditoría

Procedimiento para monitorizar los sucesos

1. Utilice SunLink Server Manager para iniciar una sesión y abrir el sistema SunLink Server cuyos registros de sucesos desea ver.

   Si precisa instrucciones para hacerlo, consulte "Inicio de la sesión con SunLink Server Manager". Para poder realizar cambios, debe iniciar la sesión como usuario root.

2. Haga doble clic en Sucesos.

   Aparece la pantalla siguiente.

   

3. Haga doble clic en el nombre del registro que desea ver.

4. Haga doble clic en cualquier línea del registro para ver más detalles sobre ese suceso en particular.

   Si precisa información sobre la forma de interpretar los sucesos, consulte "Interpretación de los sucesos".

Monitorización de sucesos desde la línea de comandos

Existe la posibilidad de utilizar el comando elfread de SunLink Server para leer los registros del sistema, de seguridad y de aplicación. Este comando resulta particularmente útil cuando falla el inicio de un sistema SunLink Server (los sucesos de este tipo se escriben habitualmente en el registro del sistema). Utilice el comando elfread como fórmula alternativa al uso de SunLink Server Manager, que es el método recomendado para ver los archivos de registro cuando el servidor está en funcionamiento.

1. Escriba lo siguiente en la línea de comandos de SunLink Server:

elfread [-od] nombre_registro

Sustituya nombre_registro por uno de los siguientes tipos de registros: sistema, seguridad o aplicación.

Para ver el contenido del archivo de registro por orden cronológico ascendente (el más antiguo primero), utilice la opción -o. Para ver información detallada sobre los sucesos, utilice la opción -d.

Si no se especifica ninguna opción, aparece un resumen de todos los sucesos del registro especificado dispuestos en orden cronológico descendente.

Visualización de la información de SunLink Server

1. Utilice SunLink Server Manager para iniciar la sesión y abrir el sistema SunLink Server cuya información desea ver.

   Si precisa instrucciones para hacerlo, consulte "Inicio de la sesión con SunLink Server Manager". Para poder realizar cambios, debe iniciar la sesión como usuario root.

2. Haga doble clic en Información.

   Aparece la pantalla siguiente.

   

   Los datos que aparecen en la vista de información son los más recientes, pero no se actualizan automáticamente. Para ver los últimos datos, haga clic en Actualizar, dentro del menú Vista, o vuelva a seleccionar Información en el panel de desplazamiento.

Aparece la siguiente información:

• Nombre del usuario Solaris de la sesión actual de SunLink Server Manager

• Nombre del servidor Solaris

• Tipo de hardware del sistema Solaris

• Versión de Solaris

• Nombre del sistema SunLink Server

• Nombre del dominio al que pertenece el sistema SunLink Server

• Función del sistema SunLink Server (si es BDC, aparece también el nombre del PDC)

• Número de versión del software de SunLink Server

• Estado del servidor (parado o en funcionamiento)

• Estado del asistente Programar mantenimiento de bases de datos (programado o no programado)

Además de proporcionar datos esenciales, la ventana Información incluye tres botones desde donde pueden iniciarse varias tareas administrativas:

• Propiedades - Si selecciona este botón, puede efectuar cambios en la configuración del sistema SunLink Server, lo que incluye su nombre de servidor, el nombre del dominio y su función dentro del dominio. Consulte la sección "Configuración y administración de dominios", junto con las instrucciones que contiene.

• Estado - En función de cuál sea el estado del programa SunLink Server en ese momento, este botón permite detener o iniciar el programa. Consulte la sección "Inicio y detención de servicios", junto con las instrucciones que contiene.

• Programación - Si selecciona este botón, puede programar (o modificar) las tareas de mantenimiento de bases de datos para que el programa SunLink Server las realice de forma automática. Consulte la sección "Tareas de mantenimiento de las bases de datos", junto con las instrucciones que contiene.