Cómo detectar quién eliminó una reserva de DHCP

Netwrix Auditor for Windows Server

Para crear una alerta que se active cada vez que alguien elimine una Reserva DHCP:

1. Ejecute Netwrix Auditor Event Log Manager → Haga clic en "Editar" → Haga clic en "Agregar" → Complete el campo "Nombre del equipo" y haga clic en "Aceptar" → Especifique la cuenta que se utilizará para recopilar datos → Haga clic en "Guardar".
2. Haga clic en el botón "Configurar" ubicado junto a "Alerts" → Haga clic en "Agregar" → Especifique el nombre de la nueva alerta y otros detalles → Haga clic en el botón "Agregar" para abrir la ventana de "Event Filters".
3. Cambie a la pestaña "Campos del evento" → Marque la casilla "ID del evento" y establezca su valor en "107" → Marque la casilla "Categoría" y establezca su valor en "0" → Haga clic en "OK".

Siempre que alguien elimine una Reserva DHCP, recibirá una alerta similar:

Auditoría Nativa

1. Abra el complemento de la consola de administración de Microsoft (MMC) para DHCP.
2. En el árbol de la consola, haga clic en el servidor DHCP que desea configurar → elija IPv4 o IPv6.
3. Haga clic con el botón derecho en una instancia de DHCP → Vaya a Propiedades → En la pestaña “General”, seleccione “Habilitar registro de auditoría de DHCP” → Haga clic en “Aceptar”.
4. Ejecute evenvwr.msc → Navegue hasta “Application and Services Logs” → Vaya a “Microsoft” → Haga clic en “Windows” → Seleccione “DHCP-Server” → Haga clic en “Microsoft-Windows-DHCP Server Events/Operational”.
5. Busque el Event ID 107 para averiguar quién eliminó una Reserva DHCP.
   Cada vez que alguien elimina una Reserva DHCP, recibirá una notificación similar:

Aprende más sobre Netwrix Auditor for Windows Server

Monitoree las eliminaciones de reservas DHCP para evitar la indisponibilidad del sistema

La eliminación de una reserva DHCP puede provocar que los servicios de TI no estén disponibles. Por ejemplo, los usuarios pueden experimentar problemas para acceder al correo electrónico, servidores de archivos, SharePoint, etc. Y debido a que los usuarios no podrán acceder a archivos en recursos compartidos corporativos o utilizar sus buzones de correo, el servicio de asistencia técnica de TI verá un aumento significativo en el volumen de tickets. Para minimizar el riesgo de indisponibilidad del sistema y los consiguientes intentos de acceso fallidos, los administradores de TI necesitan vigilar las reservas DHCP y detectar cualquier eliminación lo antes posible.

Netwrix Auditor for Windows Server proporciona visibilidad sobre la actividad de Windows Server y entrega información útil sobre todos los eventos y cambios de acceso a Windows Server, incluida la eliminación de reservas DHCP. Luego, utilizando la función de Búsqueda Interactiva, el personal de TI puede generar un informe fácil de leer que muestra todos los detalles sobre una reserva DHCP eliminada, incluyendo quién la eliminó, cuándo y dónde ocurrió la eliminación, y otros detalles. La solución también notifica a los administradores de TI sobre las direcciones IP reservadas eliminadas enviándoles alertas por correo electrónico para ayudar aún más a prevenir la indisponibilidad del sistema.