Cómo recopilar registros de aplicaciones y servicios de los registros de eventos de Windows

Cómo recopilar registros de aplicaciones y servicios desde los registros de eventos de Windows

AppLogs de Site24x7 usa la consulta de instrumentación de administración de Windows (WMI) en el agente de monitoreo del servidor de Site24x7 para capturar los registros de eventos. El módulo de WMI requiere que se realice el siguiente ingreso del registro para leer los registros de eventos desde el grupo de registros de las aplicaciones y de los servicios.

Ejecutar la consulta de WMI

Para esto, primero debes confirmar si puedes acceder al archivo de registros a través de Win32_NTLogEventutilizando la siguiente consulta de WMI en PowerShell. Esta es la misma consulta que ejecuta el agente de monitoreo del servidor de Site24x7 para recopilar los eventos.

Consulta: Get-WmiObject -Query "Select EventCode,SourceName,TimeGenerated,Type,Message,Logfile from Win32_NTLogEvent WHERE ( LogFile = '<LogFileName>' )" | select -First 1

Aquí, LogFileName es el nombre de la categoría de eventos que deseas recopilar.
En estos ejemplos,  LogFileName puede ser Microsoft-Windows-PrintService/Admin o Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
Si no hay resultados para esta consulta, no se puede acceder al archivo de registros y debes agregarlo a través del Registro de Windows.

Notes
Una entrada de registro no es obligatoria para todas las categorías de los tipos de eventos en el grupo de registros de las aplicaciones y de los servicios. Verifica si tu entrada está en WMI y, si no está, agrégala.

Agregar a través del Registro de Windows

Puedes agregar archivos de registros de eventos a través del Registro de Windows. Para hacer esto, tienes que navegar al Registro de Windows desde tu máquina con Windows e ir a la ubicación del registro.

Ubicación del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Por ejemplo, si deseas recopilar registros desde la categoría Microsoft-Windows-PrintService/Admin, entonces debes agregar la siguiente clave en el Registro de Windows.
Clave de registro: Microsoft-Windows-PrintService/Admin




Cuando proporciones la clave de registro, asegúrate de ingresar el valor de canal como una cadena completa en el registro. Sigue estos pasos:
  1. Navega a Lector de eventos > Registros de aplicaciones y servicios.
  2. Selecciona la categoría necesaria en tus aplicaciones.
  3. Haz clic en la pestaña Detalles.
  4. Expande la sección Sistema.
  5. Copia el valor del canal como se muestra en la siguiente captura de pantalla.
  6. Utiliza el valor de este canal como una clave de registro cuando lo agregues al Registro de Windows, como se muestra en la captura de pantalla.


Una vez que lo agregues al Registro de Windows, asegúrate de ejecutar la consulta de WMI que se menciona en la sección "Ejecutar la consulta de WMI" con <LogFileName> como la clave de registro que se creó anteriormente.
Debes ingresar esta clave de registro cuando agregues o edites un perfil de registro para los registros de eventos de Windows. Para ello:
  1. Inicia sesión en Site24x7 y ve a Admin > AppLogs > Perfil de registros y haz clic en Registros de eventos de Windows
  2. En la ventana Editar perfil de registros que se abre, pega la clave del registro en el campo junto a los tipos de eventos de Windows.
  3. Haz clic en Guardar.


Citando otro ejemplo, si deseas recopilar registros de la categoría RemoteConnectionManager/Operational, ingresa la siguiente clave.
Clave de registro: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

En este caso, pega la clave anterior en el campo junto a tipos de eventos de Windows para recopilar los registros remotos del administrador de control.


De forma similar, puedes pegar las claves necesarias junto al campo Tipos de eventos de Windows en el perfil de registros para recopilar registros de otras aplicaciones y servicios desde los registros de eventos de Windows.