El documento aborda el análisis de logs en sistemas Windows, destacando la importancia de la auditoría en la seguridad. Se discuten conceptos clave como el visor de sucesos y la interpretación correcta de eventos para evitar resultados erróneos. Además, se presenta una comparación entre Windows 2003 y Windows 2008, así como estrategias para auditar un servidor de ficheros.

1. Análisis de logs:Sistemas WindowsJuan Luis García RamblaResponsable equipo de seguridadMicrosoft MVP Securityjlrambla@informatica64.com

3. Pero no es tan complicado

4. Logs “¿para qué?”Activo o reactivo.De todos o de algunos.Todo o lo mínimo.A todos o solo de “sospechosos”.

6. El visor de sucesos ese gran desconocido

7. Define el ámbito de registros ¿Qué auditas?¿Cómo filtras el nivel de auditoría?Recoge lo indispensableWindows 2003 vs Windows 2008

8. DEMO Preparando un sistema para registro de información

9. Cuestión de conceptosAuditoría correctaAuditoría erróneaEvent ID

10. Acceso a objetosPuede ser la más confusa de entender.Requiere entender la concatenación de eventos a través del Handle ID.Los resultados pueden ser erróneos si no se interpretan correctamente los eventos.

11. DEMO Auditando un servidor de ficheros

13. Cuestión de estrategia