Latch Event Monitor: Nueva herramienta para integrar Latch con los eventos de WindowsElevenPaths 27 marzo, 2014 En el laboratorio de Eleven Paths, hemos creado Latch Event Monitor, una herramienta que monitoriza los eventos en Windows y ofrece al usuario la posibilidad de rastrear de una forma muy granular los logs, reaccionando de acuerdo a una respuesta preconfigurada en Latch. Esto quiere decir que Latch Event Monitor preguntará a los servidores Latch qué hacer cuando se generan ciertos eventos en una máquina Windows. De esta forma el administrador dispone de una herramienta para potencialmente reaccionar ante cualquier evento y modificar de cualquier forma y en cualquier momento el comportamiento y los scritps que se lanzan, con solo desplazar una barra desde su dispositivo móvil. Cómo funciona Latch Event Monitor funciona como un servicio, y dispone de una interfaz gráfica. Esto significa que también monitoriza los eventos cuando un usuario no se ha presentado en el sistema. El servicio monitoriza constantemente los eventos con una características dadas por el administrador. Cuando se produce ese evento, pregunta a Latch y reacciona de la forma en lo que lo haya configurado el usuario. Puede ser utilizado como un sistema de alerta, sin que exista una acción asociada a un evento. De forma que si ocurre un evento, se muestra un mensaje de bloqueo por parte de Latch en el dispositivo pero no se toma ninguna acción. Latch Event Monitor con algunas reglas ya configuradas Como instalarlo No es necesaria una configuración especial durante la instalación. Se acepta la licencia y se elige la ruta donde se instalará. Si, por seguridad, no se desea que el servicio se ejecute como SYSTEM, se puede cambiar a la cuenta que se desee, siempre que disponga de privilegios para ejecutarse como servicio y tenga acceso a la red. Más información de cómo conseguirlo en el manual que acompaña a la herramienta. El programa creará un fichero de configuración en formato XML, donde se almacenará el AppID, Secret de Latch, etc. También conviene vigilar los permisos de estos ficheros en sistemas compartidos. Pareando con Latch Antes de nada, se debe configurar una cuenta Latch. En la interfaz,se debe ir a la zona de configuración Latch arriba a la derecha y añadir el App ID y el secreto. En esta ventana también se puede especificar un “timeout”. Si el sistema no está conectado a la red o, por cualquier otra razón no se obtiene respuesta de la Latch en el tiempo especificado (por defecto 0 milisegundos implicará que no hay “timeout”) se aplicará la acción de “No response”. Cómo añadir y configurar un evento Cada evento monitorizado vendrá definido por siguientes campos: Name (opcional): Cualquier nombre que se le dará al evento que será monitorizado. El nombre solo sirve para representar mejor e identificar el evento en la lista. Log: Fuente del árbol de eventos de Windows que se usa para clasificar los logs. Es la misma que se puede encontrar al lanzar eventvwr.msc. El éxito de la monitorización depende de esto, así que se debe elegir cuidadosamente qué fuente se utiliza. Es importante entender que algunas fuentes de eventos requieren más privilegios como, por ejemplo, “Security”. Por esta razón es necesario asegurarse de que la cuenta bajo la que corre el servicio dispone de esos privilegios. Se tienen tantos logs que elegir como los que se muestren en eventvwr.msc. Source (opcional): Este campo representa la fuente del evento, presente en eventvwr.msc. Es opcional. Message (opcional): El texto generado por un evento va a través de un sistema de correspondencia que puede ser usado para descartar o permitir algunos eventos. Si la cadena especificada casa con el evento monitorizado, se lanzará la consulta Latch. Se puede buscar por el comienzo (“Starts with”), solo que contenga una cadena (“Contains”), etc. Event ID: Si se genera este ID del evento, pasará a comprobar la cadena especificada más arriba. Operation ID: El operation ID usado en Latch. Actions.Open (opcional): Si la consulta a Latch responde con un “on”, el proceso especificado se lanzará, con el argumento correspondiente (opcional). Actions.Closed (opcional): Si la consulta a Latch responde con un “off”, el proceso especificado se lanzará, con el argumento correspondiente (opcional). Actions.No response (opcional): Si la consulta a Latch responde no responde (porque no hay conectividad por ejemplo, después del tiempo establecido en “Latch settings”) el proceso especificado se lanzará, con el argumento correspondiente (opcional). Ejemplo de configuración de evento monitorizado con VNC En una entrada posterior, hablaremos de algunos ejemplos concretos. La herramienta está disponible en C# y puede ser descargada desde este enlace: http://elevenpaths.com/downloads/LatchEM-installer.exe Invitamos al uso de la herramienta. El negocio de las “FakeApps” y el malware en Google Play (IV): Política y rentabilidadAtaque de denegación de servicio en redes 2G
buenas, como hago para generar Operation ID? ya genere la aplicacion desde el sitio de desarrolladores y con latch event monitor ya los enlace (paree), pero a la hora de agregar un log que monitorear como el de el archivo host .. que se ve en los ejemplos.. no logro encontrar la forma de que generar el operation id . ayuda porfavor Responder
