Compartir vía


Seguridad de la recopilación de eventos

Las consideraciones de seguridad siguientes se deben usar para el Servicio de recopilación de eventos.

Resumen de permisos del servicio de recopilación de eventos

Asegúrese de que la identidad de la nueva instancia del Servicio de recopilación de eventos tenga los permisos siguientes:

  • Permiso para crear una sesión de ETW, registrar un proveedor y leer eventos de una sesión de ETW.

  • Permiso de lectura en la configuración del Servicio de recopilación de eventos almacenado en el archivo Web.config raíz.

  • Permiso de lectura en los archivos de configuración de IIS ubicados en <Unidad>\Windows\System32\inetserv\config.

  • Permiso de lectura en los archivos de configuración de la aplicación aplicables (Web.config) para las aplicaciones que se supervisan.

  • Permisos de lectura y escritura para la base de datos de seguimiento.

  • Directiva “Inicio de sesión como servicio”.

Ejecución como un usuario específico

Para aislar los eventos de una aplicación específica supervisada por Microsoft AppFabric 1.1 para Windows Server, ejecute las aplicaciones que incluyan servicios de Windows Communication Foundation (WCF) o Windows Workflow Foundation (WF) como un usuario específico. Asegúrese de que el usuario tenga permisos de escritura en la sesión de Seguimiento de eventos para Windows (ETW) en la que Servicio de recopilación de eventos está escuchando. Ejecute también el Servicio de recopilación de eventos real como un usuario específico. Puede ser el mismo usuario que el de la aplicación u otro diferente. Los pasos siguientes permiten ejecutar el Servicio de recopilación de eventos como un usuario específico.

  1. Agregue la identidad de la instancia de Servicio de recopilación de eventos al grupo Usuarios del registro de rendimiento de Windows. Esto proporciona las ACL adecuadas para que el Servicio de recopilación de eventos cree una sesión de ETW, registre un proveedor y lea los eventos de una sesión de ETW.

  2. La identidad de Servicio de recopilación de eventos necesita los permisos de escritura y lectura para el almacén de datos de seguimiento. Esto requiere que la identidad de Servicio de recopilación de eventos se agregue a los roles de base de datos ASMonitoringDbReader y ASMonitoringDbWriter. Puede agregar explícitamente la identidad a estos roles de base de datos. O bien puede agregar la identidad del Servicio de recopilación de eventos al grupo AS_Administrators de Windows creado por AppFabric.

  3. Conceda el permiso de lectura a la identidad del Servicio de recopilación de eventos para el archivo Web.config de las aplicaciones que se supervisan. Al agregar la identidad de la instancia de Servicio de recopilación de eventos al grupo AS_Administrators de Windows, se proporciona al Servicio de recopilación de eventos el acceso de lectura para los archivos de configuración de las aplicaciones IIS ubicadas en el directorio <Unidad>\Windows\system32\inetserv\config.

Para una aplicación que incluye servicios de Windows Communication Foundation (WCF) o Windows Workflow Foundation (WF) para usar el seguimiento de Microsoft AppFabric 1.1 para Windows Server, debe emitir eventos a la sesión de ETW desde el Servicio de recopilación de eventos que recopila eventos. Para que la aplicación tenga permisos de escritura en la sesión de ETW, asegúrese de que la identidad del grupo de aplicaciones en la que se ejecuta la aplicación tenga permiso de escritura para la sesión de ETW. Para ello, agregue la identidad a la lista de usuarios que tienen acceso a la sesión de ETW mediante la herramienta de Windows Monitor de confiabilidad y rendimiento. De forma alternativa, puede cambiar los permisos de escritura del usuario en la sesión de ETW mediante la API Win32 EventAccessControl (https://go.microsoft.com/fwlink/?LinkId=179742) (en inglés).

Si la identidad de Servicio de recopilación de eventos no tiene permiso de lectura para el archivo Web.config de la aplicación que se supervisa, generará el identificador de evento 130. Este evento se agregará al registro de eventos en el nodo Microsoft-Windows-Application Server-System Services/Admin.

Puede asignar el permiso de lectura a la identidad del Servicio de recopilación de eventos para el archivo Web.config de una aplicación de una de las maneras siguientes:

  • En el Explorador de Windows, haga clic con el botón secundario en el archivo Web.config de la aplicación, seleccione Propiedades y haga clic en la pestaña Seguridad. Asigne el permiso de lectura a la identidad que se usa para el Servicio de recopilación de eventos.

    Nota

    Puesto que la configuración de seguridad a veces se almacena en caché, es posible que tarde un breve período de tiempo en aplicar los permisos después de conceder el permiso de lectura. Además, es posible que deba reiniciar el Servicio de recopilación de eventos para que pueda leer el archivo Web.config de la aplicación con los permisos actualizados.

  • Una alternativa a establecer explícitamente el permiso de lectura del archivo Web.config es mover la aplicación a la carpeta web raíz. Por ejemplo, para el sitio web predeterminado, esta ubicación sería <unidad del sistema>\inetpub\wwwroot. Durante el desarrollo, también puede hacerlo desde Visual Studio. Haga clic con el botón secundario en el proyecto y seleccione Publicar para publicar el servicio web en el servidor de IIS local (use Localhost) mediante MSDeploy.

Directiva “Inicio de sesión como servicio”

En un entorno de dominio, las identidades de servicio en las que se ejecutarán Servicio de recopilación de eventos y Servicio de administración de flujos de trabajo en diversos servidores de una granja de servidores web deben estar en el grupo de administradores del dominio de AppFabric. Dado que el administrador del dominio crea este grupo manualmente, su nombre es arbitrario. Por lo general, este grupo incluye la cuenta de administrador del dominio de AppFabric. Se debe conceder el privilegio “Inicio de sesión como servicio” a los usuarios de este grupo y aplicarlo en el dominio. Este derecho permite que una entidad de seguridad inicie sesión como servicio. Se debe asignar este derecho a todo servicio que se ejecute en otra cuenta de usuario. Para obtener información acerca de cómo agregar el derecho “Inicio de sesión como servicio” a una cuenta, vea https://go.microsoft.com/fwlink/?LinkId=192517.

  2012-03-05