Servicio de Informtica

Atencin al Usuario

Windows XP
El visor de sucesos
Seccin de Atencin al Usuario
Ultima modificacin: 01 de Julio de 2.003

El visor de sucesos de Windows XP

TABLA DE CONTENIDOS
1. Introduccin al visor de sucesos de Windows XP
2. Funcionamiento del visor de sucesos
2.1.
Filtrar sucesos
2.2.
Liberar el registro de sucesos cuando est lleno
2.3.
Buscar tipos especficos de sucesos
2.4.
Ver detalles acerca de un suceso

Pg. 2 de 8

El visor de sucesos de Windows XP

Pg. 3 de 8

1. Introduccin al visor de sucesos de Windows XP

Mediante los registros de sucesos del Visor de sucesos, podemos reunir informacin acerca de los
problemas del hardware, el software y nuestro sistema. Tambin podemos supervisar los sucesos de
seguridad de Windows XP.
Un equipo que ejecute cualquier versin de Windows XP guarda los sucesos en tres tipos de registros:

Registro de la aplicacin. El registro de la aplicacin contiene los sucesos registrados por

aplicaciones o programas. Por ejemplo, un programa de base de datos podra registrar un error
de archivo en el registro de la aplicacin. Los programadores deciden qu sucesos se deben
supervisar.

Registro de seguridad. El registro de seguridad guarda sucesos como intentos de inicio de

sesin vlidos y no vlidos, adems de sucesos relacionados con el uso de recursos, como la
creacin, apertura o eliminacin de archivos u otros objetos. Un administrador puede
especificar los sucesos que se registrarn en el registro de seguridad. Por ejemplo, si tenemos
habilitada la auditora de inicio de sesin, se registrarn en el registro de seguridad los intentos
de inicio de sesin en el sistema.

Registro del sistema. El registro del sistema contiene sucesos registrados por componentes
del sistema Windows XP. Por ejemplo, el error de la carga de un controlador u otro componente
del sistema durante el inicio queda registrado en el registro del sistema. Los tipos de sucesos
registrados por los componentes del sistema estn predeterminados por Windows XP.

El Visor de sucesos mostrar los siguientes tipos de sucesos:

Error. Problema importante, como prdida de datos o de funcionalidad. Por ejemplo, si no se

puede cargar un servicio durante el inicio, se registrar un suceso de error.

Advertencia. Suceso que no es importante necesariamente, pero que indica la posibilidad de

problemas en el futuro. Por ejemplo, cuando queda poco espacio de disco, se registrar un
suceso de advertencia.

Informacin. Un suceso que describe el funcionamiento correcto de una aplicacin,

controlador o sistema. Por ejemplo, cuando un controlador de red carga correctamente, se
registrar un suceso de Informacin.

Auditora de aciertos. Un intento de acceso de seguridad auditado correcto. Por ejemplo, el

intento correcto de un usuario para iniciar una sesin en el sistema se registrar como un
suceso de Auditora de aciertos.

Auditora de errores. Un intento de acceso de seguridad auditado errneo. Por ejemplo, si un

usuario intenta tener acceso a una unidad de red y se produce un error, el intento se registrar
como suceso de Auditora de errores.

El servicio Registro de sucesos se ejecuta automticamente al iniciar Windows. Todos los usuarios
pueden ver los registros de aplicacin y sistema, pero slo los administradores pueden tener acceso a
los registros de seguridad.
De forma predeterminada, el registro de seguridad est desactivado. Podemos utilizar la Directiva de
grupo para habilitar el registro de seguridad. El administrador tambin puede establecer en el Registro
directivas de auditora que detengan el sistema cuando el registro de seguridad est lleno.

2. Funcionamiento del visor de sucesos

Podemos acceder al visor de sucesos de varias formas:

Siguiendo la siguiente secuencia de pasos: Botn Inicio, Panel de Control, Rendimiento y

mantenimiento, Herramientas administrativas y posteriormente haciendo doble clickk en
Visor de Sucesos.

O bien, pulsando con el botn derecho del ratn en el icono Mi PC, en el escritorio y
seleccionando la opcin Administrar.

En ambos, casos, la pantalla del visor de sucesos que nos aparecer ser similar a la siguiente:

El visor de sucesos de Windows XP

Pg. 4 de 8

En esta ventana podemos observar las tres categoras de sucesos mencionadas al principio de este
documento: Aplicacin seguridad y sistema.

1.1.

Filtrar sucesos

El visor de sucesos puede llegar a contener una lista interminable de sucesos, especialmente si no la
hemos limpiado en mucho tiempo. Por lo tanto, nos puede interesar filtrar especficamente determinada
informacin que nos interese. Para filtrar una serie de sucesos determinados, sigue los siguientes pasos:
1.

Abre el Visor de sucesos. Para abrir el Visor de sucesos, haz click en Botn Inicio, Panel de
control, Rendimiento y mantenimiento, Herramientas administrativas y, a continuacin,
haz doble click en Visor de sucesos.

2.

En el rbol de la consola, selecciona el registro que quieras filtrar (Aplicacin, Seguridad o

Sistema).

3.

En el men Ver, selecciona Filtro.

4.

En la ficha Filtro, especifica las caractersticas que desees. La ventana de Filtro es similar a la
siguiente:

El visor de sucesos de Windows XP

Pg. 5 de 8

Para volver al criterio predeterminado, pulsa en el botn Restaurar predeterminados.

Para desactivar el filtrado de sucesos, haz click en el men Ver y selecciona Todos los registros.

1.2.

Liberar el registro de sucesos cuando est lleno

1.

Abre el Visor de sucesos. Para abrir el Visor de sucesos, haz click en Botn Inicio, Panel de
control, Rendimiento y mantenimiento, Herramientas administrativas y, a continuacin,
haga doble click en Visor de sucesos. Debes haber iniciado la sesin como administrador o
miembro del grupo Administradores para liberar un registro de sucesos.

2.

En el rbol de la consola, haz click en el registro que deseas liberar (Aplicacin, Seguridad o
Sistema).

3.

En el men Accin, haz click en Borrar todos los sucesos.

Cuando un registro est lleno, se detiene la grabacin de nuevos sucesos. Borrar el registro constituye
una forma de liberar el registro e iniciar la grabacin de sucesos nuevos. Tambin podemos liberar un
registro e iniciar la grabacin de sucesos nuevos si sobrescribimos los sucesos anteriores. Para
sobrescribir sucesos, en el men Accin, tenemos que hacer click en Propiedades y, a continuacin,
hacer click en Sobrescribir sucesos cuando sea necesario. As nos aseguraremos de que todos los
sucesos nuevos se escriben en el registro, incluso cuando el registro est lleno.
Tambin podemos comenzar a registrar sucesos nuevos si aumenta el tamao mximo del registro. Para
aumentar el tamao del registro, en el men Accin, tenemos que hacer click en Propiedades y, a
continuacin, aumentar el Mximo tamao de registro. Todo esto se puede ver en la siguiente
ventana de ejemplo:

El visor de sucesos de Windows XP

1.3.

Pg. 6 de 8

Buscar tipos especficos de sucesos

Entre la enorme cantidad de sucesos que puede tener el registro del visor de sucesos, nos puede
interesar buscar sucesos concretos y determinados. Para ello, tenemos que seguir los siguientes pasos:
1.
1.
2.
3.
4.
5.

Abre el Visor de sucesos. Para abrir el Visor de sucesos, haz click en Botn Inicio, Panel de
control, Rendimiento y mantenimiento, Herramientas administrativas y, a continuacin,
haz doble click en Visor de sucesos.
En el rbol de la consola, haz click en el registro donde quieras buscar (Aplicacin, Seguridad o
Sistema).
En el men Ver, haz click en Buscar.
Bajo Tipos, haz click en los tipos de sucesos que quieras buscar.
En Origen de sucesos, Categora, Id. del suceso, Usuario, Equipo o Descripcin,
especifica informacin adicional acerca de los sucesos que quieres buscar.
Haz click en Buscar siguiente. Cada vez que el Visor de sucesos encuentre una coincidencia
con los criterios de bsqueda, nos aparecer resaltada la entrada correspondiente en el Visor de
sucesos.

La ventana de bsqueda ser similar a la siguiente:

El visor de sucesos de Windows XP

Pg. 7 de 8

En Descripcin puedes escribir cualquier fragmento de texto incluido en la descripcin de un registro de

suceso. Para obtener informacin adicional acerca de los otros campos, haz click con el botn derecho
del ratn en el campo y, despus, haz click en Qu es esto?
Para restaurar los criterios de bsqueda predeterminados, haz click en Restaurar predeterminados
antes de hacerlo en Buscar siguiente.
Los parmetros de bsqueda permanecern en Buscar durante la sesin actual. La siguiente vez que
inicies el Visor de sucesos se restaurarn las opciones predeterminadas. Si buscas grupos de sucesos en
lugar de un pequeo nmero de sucesos individuales, tambin puedes filtrar el registro.

1.4.

Ver detalles acerca de un suceso

Para ver todos los detalles y la informacin detallada relacionada con un suceso, debemos seguir los
siguientes pasos:
1.
2.
3.
4.

Abre el Visor de sucesos. Para abrir el Visor de sucesos, haz click en Botn Inicio, Panel de
control, Rendimiento y mantenimiento, Herramientas administrativas y, a continuacin,
haz doble click en Visor de sucesos.
En el rbol de la consola, haga click en el registro con el que desees trabajar (Aplicacin,
Seguridad o Sistema).
En el panel de detalles, haz click en el suceso del que desees ver la informacin detallada.
En el men Accin, haz click en Propiedades. La ventana de detalles de un suceso ser
parecida a la siguiente:

El visor de sucesos de Windows XP

Pg. 8 de 8

Para ver los datos binarios como caracteres, en el cuadro Datos, haz click en Bytes. Para ver los datos
binarios como DWORDS, haz click en Palabras (Word). Para ver detalles acerca del suceso anterior o
del siguiente, haz click en la flecha arriba o en la flecha abajo. Para copiar los detalles de un suceso, haz
click en el botn Copiar (debajo de las flechas).
No todos los sucesos generan datos binarios. La interpretacin de esta informacin puede hacerla un
programador experimentado o un tcnico de soporte familiarizado con la aplicacin de origen. Para
conservar la descripcin de los sucesos con el formato de datos binarios, guarda los registros con el
formato de archivo de registro (*.evt). Si guardas los archivos con formato de texto (.txt) o de texto
delimitado con comas (.csv), perders los datos binarios.