[ALERTA] [2025-06-09 23:06:34] Intento SSH con usuario inválido 'ghost' desde 127.0.0.1 detectado en Linux.

{
  "tipo": "Linux_InvalidUser",
  "usuario": "ghost",
  "origen": "127.0.0.1",
  "timestamp": "2025-06-09 23:06:34"
}

[ALERTA] [2025-06-09 23:06:34] Intento SSH con usuario inválido 'ghost' desde 127.0.0.1 detectado en Linux.

{
  "tipo": "Linux_InvalidUser",
  "usuario": "ghost",
  "origen": "127.0.0.1",
  "timestamp": "2025-06-09 23:06:34"
}

[!] Línea no JSON válida: Unterminated string starting at: line 1 column 902 (char 901)
[!] Línea no JSON válida: Expecting value: line 1 column 1 (char 0)
[ALERTA] [2025-06-09 23:06:41] Cuenta local Windows 'Administrador' habilitada → REVISA si debe ser admin (4722).

{
  "tipo": "Windows_HabilitacionCuenta",
  "event_id": 4722,
  "usuario": "Administrador",
  "timestamp": "2025-06-09 23:06:41"
}

[ALERTA] [2025-06-09 23:06:41] Creación de cuenta local Windows 'pruebaDisabled' detectada → INCIDENTE (4720).

{
  "tipo": "Windows_CreacionCuenta",
  "event_id": 4720,
  "usuario": "pruebaDisabled",
  "timestamp": "2025-06-09 23:06:41"
}

[ALERTA] [2025-06-09 23:06:41] Cuenta local Windows 'pruebaDisabled' habilitada → REVISA si debe ser admin (4722).

{
  "tipo": "Windows_HabilitacionCuenta",
  "event_id": 4722,
  "usuario": "pruebaDisabled",
  "timestamp": "2025-06-09 23:06:41"
}

[ALERTA] [2025-06-09 23:06:50] Cuenta local Windows 'prueba' habilitada → REVISA si debe ser admin (4722).

{
  "tipo": "Windows_HabilitacionCuenta",
  "event_id": 4722,
  "usuario": "prueba",
  "timestamp": "2025-06-09 23:06:50"
}

[ALERTA] [2025-06-09 23:06:50] Cuenta local Windows 'Administrador' habilitada → REVISA si debe ser admin (4722).

{
  "tipo": "Windows_HabilitacionCuenta",
  "event_id": 4722,
  "usuario": "Administrador",
  "timestamp": "2025-06-09 23:06:50"
}

[ALERTA] [2025-06-09 23:06:50] Cuenta local Windows 'pruebaDisabled' habilitada → REVISA si debe ser admin (4722).

{
  "tipo": "Windows_HabilitacionCuenta",
  "event_id": 4722,
  "usuario": "pruebaDisabled",
  "timestamp": "2025-06-09 23:06:50"
}

[ALERTA] [2025-06-09 23:06:50] Creación de cuenta local Windows 'prueba' detectada → INCIDENTE (4720).

{
  "tipo": "Windows_CreacionCuenta",
  "event_id": 4720,
  "usuario": "prueba",
  "timestamp": "2025-06-09 23:06:50"
}

[ALERTA] [2025-06-09 23:06:50] Miembro agregado a grupo LOCAL Windows 'Administradores' → ELEVACIÓN (4732).

{
  "tipo": "Windows_ElevacionLocal",
  "event_id": 4732,
  "grupo": "Administradores",
  "timestamp": "2025-06-09 23:06:50"
}

[ALERTA] [2025-06-09 23:06:50] Creación de cuenta local Windows 'pruebaDisabled' detectada → INCIDENTE (4720).

{
  "tipo": "Windows_CreacionCuenta",
  "event_id": 4720,
  "usuario": "pruebaDisabled",
  "timestamp": "2025-06-09 23:06:50"
}

[ALERTA] [2025-06-09 23:06:51] Cuenta local Windows 'TFGprueba' habilitada → REVISA si debe ser admin (4722).

{
  "tipo": "Windows_HabilitacionCuenta",
  "event_id": 4722,
  "usuario": "TFGprueba",
  "timestamp": "2025-06-09 23:06:51"
}

[ALERTA] [2025-06-09 23:06:51] Creación de cuenta local Windows 'TFGprueba' detectada → INCIDENTE (4720).

{
  "tipo": "Windows_CreacionCuenta",
  "event_id": 4720,
  "usuario": "TFGprueba",
  "timestamp": "2025-06-09 23:06:51"
}

[ALERTA] [2025-06-09 23:07:09] 5 fallos de logon Windows para usuario 'Administrador' desde ::1 en 2 minutos → POSIBLE FUERZA BRUTA (4625)

{
  "tipo": "Windows_FuerzaBruta",
  "event_id": 4625,
  "usuario": "Administrador",
  "origen": "::1",
  "num_fallos": 5,
  "ventana_min": 2,
  "timestamp": "2025-06-09 23:07:09"
}