hace 2 años
Los identificadores de eventos (Event IDs) en Windows son una herramienta fundamental para el diagnóstico y la monitorización del sistema operativo. Permiten a los administradores y usuarios entender qué está sucediendo en segundo plano, desde la seguridad hasta el rendimiento de la red. En este artículo, profundizaremos en dos eventos específicos: el ID 26 y el ID 27, explorando su significado, diferencias y cómo abordarlos para mantener un sistema Windows saludable y eficiente.
Evento ID 26 de Sysmon: Detección de Eliminación de Archivos
Recientemente, la versión 13 de Sysmon introdujo el Evento ID 25, que se centra en la detección de técnicas de manipulación de procesos. Paralelamente, se actualizó el Evento ID 23 (Archivo Eliminado) y se lanzó un nuevo evento para el seguimiento de eliminaciones de archivos: el Evento ID 26 (Detección de Eliminación de Archivos). Este último es el foco principal de esta sección.
Entendiendo la Diferencia entre el Evento ID 23 y el Evento ID 26
Anteriormente, con el Evento ID 23, cualquier archivo eliminado se guardaba automáticamente en un directorio de archivo configurado (por defecto, C:\Sysmon). Esta funcionalidad de archivado estaba habilitada por defecto. El problema principal era que muchos administradores no deseaban consumir espacio en disco con archivos archivados no deseados. Las versiones anteriores de Sysmon no permitían deshabilitar el archivado de archivos.
Las nuevas versiones de Sysmon rectificaron esta situación, y es por eso que las eliminaciones de archivos se manejan de manera diferente con el Evento ID 26. El Evento ID 26 se registra cuando el directorio de archivo está deshabilitado y un archivo se elimina sin ser archivado. Esta distinción es crucial para la gestión eficiente del espacio de almacenamiento y la monitorización específica de eliminaciones.
Al revisar el Evento ID 23 en el Visor de Eventos, notarás que el atributo "Archivado" se establece como "Verdadero". Sin embargo, al visualizar el Evento ID 26, este atributo simplemente no aparece. Aparte del campo "Archivado", la información restante sobre el archivo eliminado es la misma en ambos eventos. Esta separación permite automatizar el archivado de archivos y carpetas específicos, mientras se deshabilita para otros, y rastrearlos como eventos ID separados relacionados con la eliminación de archivos.
Configuración del Evento ID 26
Para configurar este nuevo tipo de evento, puedes utilizar el siguiente ejemplo en tu configuración de Sysmon. Este ejemplo excluye eventos de eliminación de archivos realizados por los servicios NETWORK SERVICE y LOCAL SERVICE, y también excluye eliminaciones relacionadas con el navegador Chrome en rutas específicas:
<FileDeleteDetected onmatch="exclude"> <User condition="contains any">NETWORK SERVICE; LOCAL SERVICE</User> <Image condition="contains all">\appdata\local\google\chrome\user data\swreporter\;software_reporter_tool.exe</Image> <Image condition="is">C:\Program Files (x86)\Google\Chrome\Application\chrome.exe</Image> </FileDeleteDetected>
Este fragmento de configuración XML demuestra cómo puedes refinar la captura de eventos ID 26, excluyendo procesos o usuarios específicos que no sean de interés para tu monitorización. La flexibilidad de la configuración de Sysmon permite adaptar la vigilancia a las necesidades concretas de cada entorno.
Campos Clave del Evento ID 26 en el Visor de Eventos
Al examinar el Evento ID 26 en el Visor de Eventos de Windows, encontrarás los siguientes campos relevantes:
| Campo | Descripción |
|---|---|
| UtcTime | Hora en Tiempo Universal Coordinado (UTC) cuando se creó el evento. |
| ProcessGuid | El GUID del proceso que eliminó el archivo. |
| ProcessId | El ID utilizado por el sistema operativo para identificar el proceso que eliminó el archivo. |
| User | Nombre de la cuenta que eliminó el archivo. Generalmente contiene el nombre de dominio y el nombre de usuario. |
| Image | Ruta del archivo del proceso que eliminó el archivo. |
| TargetFilename | La ruta del archivo eliminado. |
| Hashes | Los hashes de los tipos de archivo establecidos en la configuración. Esto también determina el nombre de archivo almacenado. |
| IsExecutable | Declaración booleana que indica si el archivo es un archivo ejecutable Portable Executable. |
Estos campos proporcionan una visión detallada de la eliminación del archivo, permitiendo un análisis forense y de seguridad más profundo. Comprender cada campo es crucial para la interpretación correcta de los eventos ID 26.
Evento ID 27: Problema de Desconexión del Enlace de Red
El Evento ID 27 se relaciona con problemas de conexión de red, específicamente la desconexión del enlace de red. Este evento puede ser frustrante, especialmente si experimentas interrupciones intermitentes en tu conexión cableada. Afortunadamente, existen diversas soluciones para abordar este problema.
¿Qué Significa el Evento ID 27?
El Evento ID 27 se manifiesta cuando la conexión de red cableada se vuelve inaccesible durante unos segundos (3-5) y luego se restablece. Al revisar los registros de eventos del sistema, puedes encontrar el Evento ID 27 con la descripción "Network link is disconnected" (Enlace de red desconectado) y la fuente "e1iexpress". Este evento indica una interrupción en la comunicación de red a nivel físico o de controlador.
Soluciones para el Evento ID 27: Enlace de Red Desconectado
Dado que el Evento ID 27 está directamente relacionado con la red, las soluciones se centran en diagnosticar y resolver problemas en la configuración de la red, los controladores o incluso el hardware. Aquí te presentamos 7 métodos para solucionar este evento:
Ejecutar el Solucionador de Problemas de Windows
Windows incluye herramientas de solución de problemas integradas que pueden diagnosticar y reparar diversos problemas, incluyendo los relacionados con la red. Para acceder a ellos:
- Presiona la tecla de Windows + I para abrir la Configuración.
- Ve a Actualización y seguridad > Solucionar problemas y haz clic en Solucionadores de problemas adicionales.
- Primero, selecciona Conexiones a Internet y haz clic en Ejecutar el solucionador de problemas.
- Luego, selecciona Adaptador de red y haz clic en Ejecutar el solucionador de problemas.
Esta herramienta intentará detectar y corregir errores automáticamente.
What Is Event ID 27? Some people may encounter intermittent wired network connection issues. The issue manifests as the network connection becoming unavailable for a few seconds (3-5) and coming back online. Then, when checking the System event logs, they may see the Event ID 27. Instalación Limpia del Controlador del Adaptador de Red y del Controlador del Chipset
Los controladores son programas esenciales que permiten al sistema operativo comunicarse con el hardware. Controladores obsoletos o corruptos pueden causar problemas de conectividad. La instalación de las últimas versiones puede resolver el Evento ID 27.
Pasos:
- Identifica el Fabricante y Modelo de tu Sistema: Presiona la tecla de Windows + R, escribe "msinfo32" y presiona Enter. Busca "Fabricante del sistema" y "Modelo del sistema". Alternativamente, busca "Producto de placa base" para identificar el fabricante de la placa base.
- Descarga los Controladores: Visita el sitio web del fabricante de tu PC o placa base. Busca tu producto y descarga los controladores más recientes para el adaptador de red y el chipset.
- Desinstala los Controladores Existentes: Presiona la tecla de Windows + X y selecciona Administrador de dispositivos. Expande "Adaptadores de red", haz clic derecho en tu dispositivo de red y elige "Desinstalar el dispositivo". Haz lo mismo para el chipset en "Dispositivos del sistema".
- Instala los Nuevos Controladores: Si el archivo descargado es ejecutable (.exe), ejecútalo. Si no, en el Administrador de dispositivos, haz clic derecho en "Adaptadores de red" o "Dispositivos del sistema", selecciona "Actualizar controlador", "Buscar controladores en mi equipo", localiza el archivo del controlador y sigue las instrucciones.
Ajustar las Propiedades del Adaptador de Red
Modificar la configuración de "Velocidad y dúplex" del adaptador de red puede solucionar el problema. Intenta cambiar de "Negociación automática" a "1.0 Gbps Full Duplex".
Pasos:
- Abre el Administrador de dispositivos y expande "Adaptadores de red".
- Haz clic derecho en tu dispositivo de red y selecciona "Propiedades".
- Ve a la pestaña "Opciones avanzadas".
- En "Propiedad", selecciona "Velocidad y dúplex".
- En "Valor", asegúrate de que esté seleccionado "1.0 Gbps Full Duplex".
- Haz clic en "Aceptar".
Ajustar la Administración de Energía del Adaptador de Red
La configuración de administración de energía puede a veces interferir con la conexión de red. Deshabilitar la opción que permite al sistema apagar el adaptador para ahorrar energía puede ayudar.
Pasos:
- Abre el Administrador de dispositivos, haz clic derecho en el adaptador de red y elige "Propiedades".
- Ve a la pestaña "Administración de energía".
- Desmarca "Permitir que el equipo apague este dispositivo para ahorrar energía" y "Permitir que este dispositivo reactive el equipo".
Cambiar IPv4 a Servidores de Google
Utilizar los servidores DNS de Google puede mejorar la estabilidad de la conexión de red en algunos casos.
Pasos:
- Haz clic derecho en el icono de red en la esquina inferior derecha y selecciona "Abrir Configuración de red e Internet".
- En el panel derecho, bajo "Configuración de red avanzada", haz clic en "Cambiar opciones del adaptador".
- Haz clic derecho en tu conexión de red y elige "Propiedades".
- Selecciona "Protocolo de Internet versión 4 (TCP/IPv4)" y haz clic en "Propiedades".
- Selecciona "Usar las siguientes direcciones de servidor DNS" e introduce:
- Preferido: 8.8.8.8
- Alternativo: 8.8.4.4
- Haz clic en "Aceptar" en ambas ventanas.
Desinstalar Software Incompatible
Algunos programas, como NetBalancer, pueden interferir con el adaptador de red. Desinstalar software incompatible podría resolver el problema. En casos extremos, reinstalar Windows puede ser necesario.
Solucionar Problemas de Hardware
Si todas las soluciones de software fallan, considera problemas de hardware. Revisa el cable Ethernet, los conectores y el puerto de red en tu PC y router. Intenta limpiar los contactos metálicos del conector Ethernet o reemplazar el cable de red o el módulo de red (si es aplicable).
Conclusión
Los Eventos ID 26 y 27 de Windows, aunque distintos en su naturaleza, son indicadores valiosos para la salud y el rendimiento de tu sistema. El Evento ID 26 de Sysmon proporciona una granularidad mejorada en la monitorización de eliminaciones de archivos, permitiendo una gestión más eficiente del almacenamiento y la seguridad. Por otro lado, el Evento ID 27 alerta sobre problemas de conexión de red, para los cuales existen diversas soluciones que van desde la configuración del software hasta la revisión del hardware.
Comprender estos eventos y saber cómo abordarlos te permitirá mantener un sistema Windows más estable, seguro y eficiente. La clave está en la monitorización constante de los registros de eventos y la aplicación de las soluciones adecuadas según el escenario.
Preguntas Frecuentes (FAQ)
- ¿Qué diferencia principal hay entre el Evento ID 23 y 26 de Sysmon?
- La principal diferencia es que el Evento ID 23 se registra cuando un archivo se elimina y se archiva (si la configuración de Sysmon lo permite), mientras que el Evento ID 26 se registra cuando un archivo se elimina y *no* se archiva, generalmente porque el archivado está deshabilitado.
- ¿El Evento ID 27 siempre indica un problema de hardware?
- No necesariamente. El Evento ID 27 puede ser causado por problemas de software (controladores, configuración), firmware o hardware. Es recomendable seguir los pasos de solución de problemas de software antes de asumir un problema de hardware.
- ¿Dónde puedo encontrar los registros de eventos de Windows?
- Puedes encontrar los registros de eventos en el Visor de eventos de Windows. Para abrirlo, busca "Visor de eventos" en el menú Inicio.
- ¿Es necesario tener Sysmon instalado para ver el Evento ID 26?
- Sí, el Evento ID 26 es específico de Sysmon, una herramienta de monitorización avanzada de Windows. Si no tienes Sysmon instalado, no verás este evento.
- ¿Cambiar la velocidad y dúplex a 1.0 Gbps Full Duplex siempre soluciona el Evento ID 27?
- No siempre, pero es una solución que ha funcionado para algunos usuarios y es recomendable probarla, ya que es un cambio sencillo y reversible.