Continuo con la segunda parte de este artículo sobre cómo realizar el reenvío y la recopilación de los eventos de un equipo Windows, la primera parte se puede localizar en este enlace.

En la anterior parte mostré como configurar el equipo de origen para permitir las peticiones de Administración remota de Windows (WinRM) y en este segunda parte mostraré cómo configurar el equipo recopilador.

<div style="text-align: justify;">El primer paso es configurar la utilidad del colector de eventos de Windows (Wecutil) en el equipo recopilador para permitir su ejecución. En el caso de este tutorial utilizaré el modo de configuración rápida, pero al igual que siempre indico este no es el método más recomendado para un sistema en producción.</div><div style="text-align: justify;">
</div><div style="text-align: justify;">Para realizar este paso se debe ejecutar el comando wecutil qc desde una consola de simbolo de sistema con privilegios tal y como se muestra en la siguiente figura.</div><div style="text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 1. Ejecución del comando wecutil</td></tr></tbody></table><div class="separator" style="clear: both; text-align: justify;">El segundo paso es crear un suscripción a los eventos que se desea recibir del equipo origen, para ello se debe abrir la consola de visor de eventos y una vez se haya seleccionado la carpeta Suscripciones se deben hacer clic con el botón derecho del ratón y seleccionar la opción Crear suscripción tal y como se muestra en la siguiente figura.</div><div class="separator" style="clear: both; text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 2. Creación de una suscripción</td></tr></tbody></table><div class="separator" style="clear: both; text-align: justify;">Una vez se ha seleccionado la opción de Crear suscripción se abre una ventana de dialogo donde se pueden configurar todos los aspectos de la suscripción. Para este artículo se han configurado los aspectos que se muestras en la figura siguiente.</div><div class="separator" style="clear: both; text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 3.  Propiedades de una suscripción</td></tr></tbody></table><div class="separator" style="clear: both; text-align: justify;">Los campos de Nombre de suscripción y Descripción son lo suficientemente autodescriptivos para no necesitar mayor explicación.</div><div class="separator" style="clear: both; text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 4. Nombre y descripción de la suscripción</td></tr></tbody></table><div class="separator" style="clear: both; text-align: justify;">El despleglable de Registro de destino permite seleccionar en qué archivo de registro se van a almacenar los eventos recopilados, en el caso de este artículo se ha dejado el valor por defecto que es el registro de Eventos reenviados.</div><div class="separator" style="clear: both; text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 5. Selección del regisotr de destino</td></tr></tbody></table><div class="separator" style="clear: both; text-align: justify;">En la tercera sección denominada Tipo de suscripción y equipos de origen, he seleccionado la opción más sencilla de configurar que es que sea el equipo recopilador el que proporcione la suscripción. Para ello es necesario seleccionar el botón de radio con el título Iniciada por el recopilador y hacer click sobre el botón Seleccionar equipos…. Una vez esto aparecerá un cuadro de dialogo dónde se permite localizar la cuenta en Directorio Activo del equipo de origen haciendo clic en el botón Agregar equipos de dominio tal y cómo muestra la siguiente secuencia de figuras.</div><div class="separator" style="clear: both; text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 6. Adición de equipos de origen a la suscripción</td></tr></tbody></table><div class="separator" style="clear: both; text-align: center;"></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 7. Selección de equipo de origen</td></tr></tbody></table><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 8. Ventana de equipos de origen añadidos</td></tr></tbody></table><div style="text-align: justify;">Una vez se ha añadido el equipo a la suscripción es deseable realizar una comprobación previa para asegurarse que el equipo de origen es accesible desde el equipo receptor. Para ello se debe hacer clic sobre el botón Probar.</div><div style="text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 9. Prueba de conexión con el equipo origen</td></tr></tbody></table>Si las prueba es correcta se mostrará un mensaje como el de la siguiente figura.
<div style="text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 10. Prueba de conexión con el equipo origen correcta</td></tr></tbody></table><div class="separator" style="clear: both; text-align: justify;">Lo siguiente que es necesario hacer es seleccionar los tipos de eventos que se desean recopilar, para lo que se debe hacer clic sobre el botón Seleccionar eventos… y generar el filtro tal y como se muestra en la siguiente figura.</div><div class="separator" style="clear: both; text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 11. Filtro de eventos de la suscripción</td></tr></tbody></table><div class="separator" style="clear: both; text-align: justify;">Lo último que queda pendiente por realizar para completar la suscripción es cambiar las credenciales que va a disponer de los permisos de lectura necesarios en los registros de eventos de origen, en el caso de este artículo se ha configurado la cuenta de Administrador del dominio, algo que logicamente no es nada recomendable en un entorno de producción.</div><div class="separator" style="clear: both; text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 12. Cambio de las credenciales de acceso a los registros de eventos</td></tr></tbody></table><div class="separator" style="clear: both; text-align: justify;">Y con esta última tarea se habrá completado la configuración de la suscripción en el equipo recopilador de evento. </div><div class="separator" style="clear: both; text-align: justify;">
</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"></td></tr><tr><td class="tr-caption" style="text-align: center;">Ilustración 13.  Visor de eventos con la suscripción generada.</td></tr></tbody></table><div class="separator" style="clear: both; text-align: justify;">En la última entrega de este artículo verificaré el correcto funcionamiento de la suscripción generando un evento manualmente en el equipo de origen y verificando que es reenviado al equipo recopilador.</div>