Cargando

Ir a contenido


 


Registro de eventos en los logs de Linux

En este tutorial describiremos los diferentes logs que tiene Linux y sus ejemplos correspondientes.


Escrito por el oct 24 2013 13:30 logs linux linux log


El log es como una bitacora, donde se registran eventos, errores, cambios y procesos que generan las aplicaciones o el sistema operativo para luego poder leer este registro y determinar que eventos ocurrieron, sobre todo en caso de errores o vulnerabilidades.

Los ficheros de log en un sistema linux, residen en el directorio /var/log
El sistema de logs de Linux es gestionado por dos Daemon:

SYSLOGD: genera los logs del sistema. Syslogd se ejecuta automáticamente al arrancar un sistema Linux, y es el encargado de guardar informes sobre el funcionamiento del ordenador. Recibe mensajes de las diferentes partes del sistema, kernel y aplicaciones, los almacena en diferentes localizaciones, tanto locales como remotas, siguiendo un criterio definido en el fichero de configuración /etc/syslog.conf.
KLOGD: genera los logs del kernel. klogd dirige los mensajes de registro del kernel al registro del sistema. El usuario puede controlar el manejo de los mensajes del kernel mediante la edición del archivo de configuración de syslogd. Estas aplicaciones de klogd son útiles especialmente para los desarrolladores del kernel.

Configuración de syslog
La configuración de syslogd se hace a través del archivo /etc/syslogd.conf. A través de este archivo se especifica hacia dónde se deben enrutar los diferentes mensajes. Se pueden dejar líneas en blanco o comentar líneas enteras con el carácter "#"

Para que syslog acepte conexiones remotas debemos añadir el parámetro -r
SYSLOGD_OPTIONS="-r -m 0"

Normalmente syslogd ocupa el puerto 514 debemos revisar que el firewall no lo bloquee para probar en que puerto esta corriendo, desde la terminal escribimos el siguiente código
grep syslog /etc/services

Log de servicios en esta linea podemos ver que los logs de mail, cron, info van al directorio messages
*.info;mail.none;authpriv.none;cron.none /var/log/messages

Vamos a probar a enviar un mensaje a todos los log con el siguiente comando
grep "Mensaje de prueba" /var/log/*

En este caso podemos ver que varios log están con permisos denegados por lo tanto no se pueden escribir.


Habría que determinar si es necesario cambiar los permisos o no según nuestras necesidades.

Los log tiene varios niveles de prioridad de los mensajes (de menos a más prioritario:

Los logs de fallos, errores y advertencias
debug, info,notice, warning, warn, err, error, crit, alert, emerg y panic

y varios los logs de tipo mensajes
auth, authpriv, cron, daemon, kern, lpr, mail, mark, news, security, syslog, user, uucp.

Los mas importantes son
var/log/messages: aquí encontraremos los logs que llegan con prioridad info (información), notice (notificación) o warn (aviso).
/var/log/kern.log: aquí se almacenan los logs del kernel, generados por klogd.
/var/log/auth.log: en este log se registran los login en el sistema, las veces que hacemos su, etc. Los intentos fallidos se registran en líneas con información del tipo clave no validad o login no valido
/var/log/dmesg: en este archivo se almacena la información que genera el kernel durante el arranque del sistema.

Estos archivos de logs acumulan información todo el tiempo por lo que en algún momento pueden ocupar mucho espacio, para solucionar este problema podemos comprimirlo o ir haciendo backup si son realmente necesarios.
¿Te ha gustado y ayudado este Tutorial?
Puedes premiar al autor pulsando este botón para darle un punto positivo
  • -
  • 0
10
VOTA
5
100%
4
0%
3
0%
2
0%
1
0%

  Información

  •   Publicado oct 24 2013 13:30
  •   Visitas 3.3K
  •   Nivel
    Avanzado



Tutoriales Relacionados


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!
Demuestra que eres experto!
  ESCRIBIR TUTORIAL
Suscribirse