Visor de eventos

En esta sección:

Ver un vídeo relacionado (10:12)

Para iniciar el diálogo Eventos, acceda al menú Ver y seleccione Control de aplicaciones Eventos. Como alternativa, puede seleccionar Ver eventos desde el editor de Configuración de Control de aplicaciones.

Los datos de eventos se recopilarán cuando los equipos se conecten en los intervalos especificados en la Configuración general de políticas de agentes, si desea recuperar los datos antes de que se produzca la comunicación, vaya a Ver > Equipos > marque los equipos y haga clic con el botón derecho, selecciones Control de aplicaciones > Recuperar eventos y el trabajo se ejecutará inmediatamente.

El diálogo Ver eventos muestra todos los Eventos de Control de aplicaciones como se configuraron en Control de aplicaciones Editor de configuración > Eventos > Selección/Filtrado.

Utilice esta vista para ejecutar consultas en eventos de auditoría elevados específicos para Control de aplicaciones.

Visualizar consultas

Puede consultar los siguientes eventos predefinidos o crear consultas personalizadas:

  • Todos los tipos de eventos
  • Ejecutables denegados
  • Ejecutables permitidos
  • Autorización propia
  • Gestión de privilegios
  • Detección de privilegios
  • Elevación propia
  • Control del navegador

Ejecutar consulta: seleccione ejecutar la consulta. Si la Vista, Filtros o Tipos de eventos incluidos se modifican, debe volver a ejecutar la consulta para actualizar los resultados.

Después de ejecutar la consulta, puede modificar la vista como grupo, filtrar u ordenar los eventos y los resultados se pueden exportar en formato CSV.

Hay varios modos para personalizar la vista:

  • Aplicar filtros para buscar eventos.
  • Use Buscar para mostrar solo los eventos que coincidan con los criterios de búsqueda.
  • Las columnas se reordenan haciendo clic en los encabezados y arrastrándolos a una nueva ubicación.
  • Haga clic en un encabezado de columna para ordenar la columna en orden ascendente o descendente.
  • Aplique filtros más avanzados a uno o más encabezados de columnas. Mantenga el cursor sobre el encabezado de una columna y haga clic en el icono de filtro que se encuentra en la esquina superior derecha.

Guardar: seleccionar para guardar los cambios que ha hecho a una consulta personalizada.

Guardar como: primero debe seleccionar Ejecutar consulta para activar la opción Guardar como. Seleccionar para guardar los resultados como una nueva consulta personalizada, introducir un nombre para la consulta que aparecerá en la lista desplegable de Vista.

Administrar: seleccionar para mostrar la lista de todas las consultas personalizadas, conde puede seleccionar para cambiar el nombre o eliminar una consulta.

Tipos de eventos incluidos

Los Tipos de eventos disponibles dependen de qué Vista se selecciona.

Una lista completa de eventos para Control de aplicaciones se puede encontrar aquí: Eventos disponibles.

Si selecciona una vista personalizada, puede seleccionar los eventos que se incluirán, seleccione Cambiar para mostrar el diálogo de selección.

Recuerde que si ha cambiado los tipos de eventos que se incluyen, deberá volver a Ejecutar la consulta.

Filtros

Puede modificar la consulta mediante lo siguiente:

  • Rango de hora: seleccionar desde un rango de hora presente: 10 minutos, hora, 6 horas, 24 horas, semana o mes. También tiene la opción de crear un periodo de tiempo personalizado.
  • Usuario: mostrar solo los eventos elevados para un usuario específico.
  • Equipo: mostrar solo los eventos elevados desde un nombre de equipo o de cliente específico.
  • Solo resumen: solo aplicable para las Vistas de Ejecutables denegados y de Ejecutables permitidos. Si se selecciona, los resultados se agrupan en la ruta del archivo y en la id del evento.

Recuerde volver a Ejecutar la consulta si actualiza cualquiera de los Filtros.

Buscar

Para iniciar una búsqueda, escriba el texto que desee encontrar y haga clic en Buscar. Solo aparecerán los eventos que coincidan con los criterios de búsqueda, el resto de las entradas de eventos se ocultan.

  • La herramienta de búsqueda solo actúa sobre la información visible. Puede hacer clic con el botón derecho en los encabezados de la columna o agregar o eliminar columnas a buscar.
  • Si se aplicó un filtro, solo aparecerán los elementos que cumplan con los criterios de búsqueda y los criterios del filtro.
  • También aparecerán todas las coincidencias parciales.
  • La búsqueda no distingue entre mayúsculas y minúsculas.
  • No permite el uso de asteriscos.
  • Para borrar los criterios de búsqueda, haga clic en el icono ubicado a la derecha del cuadro de búsqueda.

Si el campo de búsqueda no es visible, haga clic con el botón derecho sobre el encabezado de una columna de la vista Resultados y seleccione Mostrar panel Encontrar desde el menú contextual.

Resultados

Los resultados de consultas se muestran en el panel inferior cuando se selecciona Ejecutar consulta.

Los eventos que se listan se pueden arrastrar y soltar o copiar y pegar para crear elementos de Ruta de archivo, Nombre de archivo, Carpetas o Hash de archivo para los siguientes:

  • Colecciones de reglas
  • Conjuntos de reglas > Control de ejecutables > Permitido/Denegado
  • Conjuntos de reglas > Gestión de privilegios > Aplicaciones/Autoelevación
  1. Acceda a la ubicación del Editor de configuración de Control de aplicaciones donde desee crear el elemento de regla. Por ejemplo, Conjuntos de reglas > Todos > Control de ejecutables > Permitido
  2. En el diálogo Visor de eventos, seleccione los eventos necesarios y copie o arrastre hacia atrás el diálogo Permitido.
  3. Suelte o pegue para mostrar el diálogo Seleccionar tipo de elemento de regla.
  4. Seleccione el tipo de elementos que desee crear, rutas de archivos, nombre de archivo, carpeta o hash de archivo.
  5. Se agregan los elementos de regla.

Exportar datos: seleccionar para exportar la vista actual en formato CSV, puede seleccionar exportar solo con las columnas seleccionadas actualmente o con todas las columnas.

Mostrar el editor de filtros: seleccionar para agregar filtros a los resultados de la consulta.

Elegir columnas: seleccionar para personalizar qué columnas se muestran en los resultados de consultas.

Menú contextual de resultados

Haga clic con el botón derecho sobre un encabezado de columna para mostrar el menú contextual donde podrá seleccionar si llevar a cabo una serie de acciones adicionales.

  • Orden ascendente: ordena la columna seleccionada en orden ascendente.
  • Orden descendente: ordena la columna seleccionada en orden descendente.
  • Borrar orden: borra los criterios de ordenación ascendente o descendente que estén establecidos para esta columna.
  • Agrupar por esta columna: agrupa la lista usando los datos de la columna seleccionada. Se creará una lista desplegable para cada valor de columna posible.

    • Si lleva a cabo esta acción en las siguientes columnas, los datos se presentarán en grupos anidados a niveles cada vez más bajos dentro de la lista desplegable.

    Si se habilita Mostrar panel de grupo, se mostrará el cuadro "Agrupar por" en el área que hay justo sobre el encabezado de la columna.

    Sugerencia: apague la función Agrupar por esta columna y vuelva a la vista original: Habilite Mostrar panel de grupo, haga clic con el botón derecho sobre cada cuadro Agrupar por y seleccione Desagrupar, luego haga clic con el botón derecho sobre el encabezado de la columna y seleccione Ocultar grupo por cuadro.

  • Mostrar panel de grupo/ Ocultar panel de grupo: muestra u oculta un área que hay justo sobre el encabezado de la columna que contiene los cuadros "Agrupar por". Un cuadro Agrupar por se mostrará en cada encabezado de columna en los que esté habilitado Agrupar por esta columna. También puede arrastrar los encabezados de las columnas desde y hasta está área.

    • La tablea se agrupará según los datos del cuadro. Si hay dos o más cuadros, la agrupación se anidará, con el cuadro más a la izquierda en el nivel superior, el segundo cuadro se presentará en el segundo nivel, etc.

  • Mostrar el selector de columnas: le permite agregar y ocultar información en la cuadrícula. Cuando selecciona Mostrar selector de columnas, se muestra el diálogo Selector de columnas. Este diálogo se usa para especificar que columnas, de las disponibles, desea mostrar en la cuadrícula. Si hace clic y arrastra una entrada en la lista a una nueva posición en el diálogo, las columnas de la cuadrícula se volverán a ordenar para que coincidan.
  • Mejor opción: cambia el ancho de la columna seleccionada para que se ajuste al texto del encabezado con la mejor cantidad de espacio.
  • Mejor opción (todas las columnas): cambia el ancho de todas las columnas de la tabla para que se ajuste al texto del encabezado en el mejor espacio.
  • Editor de filtros: el diálogo Editor de filtros mostrará los filtros avanzados que estén activos actualmente en los encabezados de la columna. Puede utilizar el editor para modificar los criterios de filtros actuales y para crear nuevos criterios con las condiciones de filtros y los operadores lógicos actuales.

Temas relacionados

Eventos de control de aplicaciones

Mantenimiento de la base de datos