29.Monitorización del sistema

Con lo monitorización del sistema vamos a poder auditar los eventos que se han producido en nuestro equipo.

Windows

Como ya estudiamos, podemos abrir el visor de sucesos mediante la orden evenlvwr.msc. En la Figura 5.55, podemos ver que guarda información de los sucesos de aplicación, seguridad y sistema.

Esta información es guardada en los archivos AppEvent.Evt, SecEvent.Evt y SysEvent.Evt, ubicados todos ellos en el directorio %SystemRoot%\system32\config.

Es muy importante configurar correctamente el tamaño y el acceso a los mismos. El tamaño debe ser lo suficientemente grande para albergar los sucesos producidos en el sistema hasta que lo auditemos. Y como es lógico, para evitar que 105 intrusos borren sus huellas sólo deberán tener permisos de control total el técnico o técnicos ,encargados de la seguridad del sistema.

Linux tiene un complejo visor de sucesos (Fig. 5.56) que podemos arrancar desde Sistema > Administración> Visor de archivos de sucesos.

Para simplificar lo auditoría, Linux tiene un conjunto de comandos, que se especializan en el registro de los distintos eventos. Para auditar los entradas al sistema utilizaremos el comando last (Fig. 5.58, para auditar los accesos fallidos usaremos el comando lastb (Fig. 5.59 Y para los conexiones 01 sistema por red utilizaremos el comando lastlog (Fig. 5.601.Los ficheros donde se guarda la información se encuentran ubicados en el directorio /var/log (Fig. 5.571.)