Los registros de eventos de Windows del agente le permiten ver qué observa el agente de AutoElevate y cómo opera en el sistema. Un servicio SIEM o syslog puede procesarlos para automatizar mejor los eventos que ocurren en AutoElevate .

Esta función se puede habilitar o deshabilitar en la configuración del Portal de administración.

Algunos de los eventos contienen, entre otros, la misma información que se muestra en la pantalla Eventos del Portal de administración.

Los registros de eventos de Windows del agente tienen los siguientes beneficios

• Solución de errores
  
• Autenticación del técnico de auditoría
  
• Grabación de eventos UAC sin conexión
  
• Seguimiento de la solicitud de elevación de privilegios
  
• Seguimiento de cambios en determinadas configuraciones de seguridad
  
• Registrar cuándo se ha utilizado una regla
  

¿Cómo utilizar los registros?

Los registros de eventos de Windows del agente se implementan mediante el sistema de seguimiento de eventos de Windows. Por lo tanto, pueden visualizarse o capturarse como cualquier registro estandarizado del Visor de eventos de Windows.

Siguen las pautas de Microsoft, incluidas las convenciones de nomenclatura recomendadas.

Si utiliza un recopilador de registros o una herramienta SIEM, con la ayuda de la siguiente información podrá configurarlo para capturar los registros de eventos de Windows del agente.

Eventos

UAC se activó

Desencadenante: cuando aparece un mensaje de UAC.

Canal: Operacional

ID de evento: 1000

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x4000000000000009 (UAC, UAC_Agent)

Idiomas de soporte: Inglés

Regla aplicada

Desencadenante: cuando una regla existente maneja automáticamente una solicitud de UAC.

Canal: Operacional

ID de evento: 1001

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x4000000000000009 (UAC, UAC_Agent)

Idiomas de soporte: Inglés

Modo Técnico Autenticar

Desencadenante: cuando un técnico ha sido autenticado para una nueva sesión del modo técnico.

Canal: Operacional

ID de evento: 2000

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x4000000000000024 (Tech_Sess, Tech_Launcher)

Idiomas de soporte: Inglés

Modo de agente cambiado

Desencadenante: cuando se cambia el modo del Agente desde la pantalla Computadoras en el Portal de administración.

Canal: Operacional

ID de evento: 3000

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x4000000000000012 (Agent_Config, Agente)

Idiomas de soporte: Inglés

Configuración de UAC cambiada

Desencadenante: cuando se cambia la configuración de UAC desde la pantalla Computadoras en el Portal de administración.

Canal: Operacional

ID de evento: 3001

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x4000000000000012 (Agent_Config, Agente)

Idiomas de soporte: Inglés

Se modificó la configuración para eliminar privilegios de administrador

Desencadenante: cuando se cambia la configuración “Eliminar privilegios de administrador” desde la pantalla Configuración en el Portal de administración.

Canal: Operacional

ID de evento: 4000

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x4000000000000012 (Agent_Config, Agente)

Idiomas de soporte: Inglés

Se modificó la configuración de superposición de carga del UAC

Desencadenante: cuando se cambia la configuración de “Superposición de carga de UAC” desde la pantalla Configuración en el Portal de administración.

Canal: Operacional

ID de evento: 4001

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x4000000000000012 (Agent_Config, Agente)

Idiomas de soporte: Inglés

Se modificó la configuración de las solicitudes de bloqueo de "AppData\Local\Temp"

Desencadenante: cuando se cambia la configuración “Bloquear solicitudes de 'AppData\Local\Temp'” desde la pantalla Configuración en el Portal de administración.

Canal: Operacional

ID de evento: 4002

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x4000000000000012 (Agent_Config, Agente)

Idiomas de soporte: Inglés

Error de registro del agente

Desencadenante: cuando hay un error con el proceso de registro del Agente que puede impedir que el agente aparezca en la Pantalla de Computadoras del Portal de Administración.

Canal: Admin

ID de evento: 5000

Versión: 0

Nivel: 1 (Crítico)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x8000000000000110 (Registro, Agente)

Idiomas de soporte: Inglés

Error de inicio de sesión del agente

Desencadenante: cuando hay un error con el proceso de inicio de sesión del Agente que puede provocar que el estado del Agente no se actualice en la pantalla Computadoras del Portal de administración y puede poner al agente en modo fuera de línea.

Canal: Admin

ID de evento: 5001

Versión: 0

Nivel: 2 (Error)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x8000000000000210 (Inicio de sesión, Agente)

Idiomas de soporte: Inglés

Solicitud de aprobación enviada

Desencadenante: cuando se envía una solicitud de elevación de privilegios a los técnicos.

Canal: Operacional

ID de evento: 6000

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x40000000000000c0 (Solicitud de aprobación, Agente de alerta)

Idiomas de soporte: Inglés

Solicitud de aprobación aprobada

Desencadenante: cuando el agente ha recibido una respuesta de elevación de privilegios como aprobada.

Canal: Operacional

ID de evento: 6001

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x40000000000000c0 (Solicitud de aprobación, Agente de alerta)

Idiomas de soporte: Inglés

Solicitud de aprobación denegada

Desencadenante: cuando el agente ha recibido una respuesta de elevación de privilegios denegada.

Canal: Operacional

ID de evento: 6002

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x40000000000000c0 (Solicitud de aprobación, Agente de alerta)

Idiomas de soporte: Inglés

Solicitud de aprobación retrasada

Desencadenante: Cuando una solicitud de elevación de privilegios no se gestionó dentro del intervalo de tiempo configurado. Este evento no se activará si el intervalo de tiempo está deshabilitado.

Canal: Operacional

ID de evento: 6003

Versión: 0

Nivel: 4 (Informativo)

Tarea: 0 (N/A)

Código de operación: 0 (N/D)

Palabras clave: 0x40000000000000c0 (Solicitud de aprobación, Agente de alerta)

Idiomas de soporte: Inglés

Canales

Canal Operacional

Ruta: AutoElevate /Operacional

Tipo: Operacional

Información: Registro general.

Canal de administración

Ruta: AutoElevate /Admin (Anteriormente: AutoElevate /Errors)

Tipo: Administrador

Información: Errores que sugieren acción inmediata por parte de los Administradores.

Palabras clave

Una lista de palabras clave que pueden contener los registros de eventos y lo que representan.

UAC - El evento fue causado por la interacción de los agentes con el mensaje UAC.

Configuración del agente - El evento fue causado por un cambio en la configuración del Agente.

Tech_Sess : el evento fue causado por una sesión de modo técnico.

Registro : El evento fue causado por el proceso de registro del Agente.

Iniciar sesión : el evento fue causado por el proceso de inicio de sesión del agente.

Approval_Request : el evento fue causado por una solicitud de elevación de privilegios.

UAC_Agent : el evento se originó en el agente UAC AutoElevate .

Agente : el evento se originó en el agente AutoElevate .

Tech_Launcher : el evento se originó en el iniciador del modo técnico AutoElevate .

Alert_Agent : el evento se originó en el agente de alerta AutoElevate .