¿Qué son los logs?

Los logs son los archivos de registros que Linux almacena para que los administradores realicen un seguimiento y controlen los eventos importantes sobre el servidor, el kernel, los servicios y las aplicaciones que se ejecutan en él. En esta publicación, revisaremos los principales archivos de registro de Linux que los administradores de servidores deben supervisar.

Casi todos los archivos de registro se encuentran en el directorio /var/log y sus subdirectorios en Linux. Puedes cambiar a este directorio usando el comando cd. Debe ser usuario root para ver o acceder a los archivos de registro en sistemas operativos como Linux o Unix.

Por qué deberías monitorear los archivos de registro de Linux

La administración de registros es una parte integral de la responsabilidad de cualquier administrador del servidor.

Al monitorear los archivos de registro de Linux, puedes obtener información detallada sobre el rendimiento del servidor, la seguridad, los mensajes de error y los problemas subyacentes.

En resumen, los archivos de registro te permiten anticipar los próximos problemas antes de que ocurran.

Qué archivos de registro de Linux se deben monitorear

Monitorear y analizar todos ellos puede ser una tarea desafiante. El gran volumen de registros a veces puede hacer que sea frustrante simplemente profundizar y encontrar el archivo correcto que contenga la información deseada.

Para que sea un poco más fácil te indico algunos de los archivos de registro de Linux más críticos que deberías estar monitoreando.

Nota: Esta no es una lista exhaustiva, sino solo un subconjunto de los archivos de registro más importantes.

/var/log/messages

Este archivo de registro contiene registros genéricos de actividad del sistema.

Se utiliza principalmente para almacenar mensajes del sistema informativos y no críticos.

En los sistemas basados ​​en Debian, el directorio /var/log/syslog sirve para el mismo propósito.

Aquí puedes hacer un seguimiento de los errores de arranque que no son del kernel, los errores de servicio relacionados con la aplicación y los mensajes que se registran durante el inicio del sistema.
Por ejemplo, si estás teniendo algunos problemas con la tarjeta de video. Para verificar si algo salió mal durante el proceso de inicio del sistema es aquí donde debes revisar.

/var/log/auth.log

Todos los eventos relacionados con la autenticación se registran aquí.

Si estás buscando algo relacionado con el mecanismo de autorización del usuario, puedes encontrarlo en este archivo de registro.

Si sospechas que puede haber una violación de seguridad en su servidor, deberías revisar este archivo de registro.

Registro de intentos de inicio de sesión fallidos.

Investiga los ataques de fuerza bruta y otras vulnerabilidades relacionadas con el mecanismo de autorización del usuario.

/var/log/secure

Los sistemas basados ​​en RedHat y CentOS usan este archivo de registro en lugar de /var/log/auth.log.

Se utiliza principalmente para rastrear el uso de los sistemas de autorización.

Almacena todos los mensajes relacionados con la seguridad, incluidos los errores de autenticación.

También rastrea los inicios de sesión de sudo, los inicios de sesión de SSH y otros errores registrados por el daemon de servicios de seguridad del sistema.

Todos los eventos de autenticación de usuario se registran aquí.

Este archivo de registro puede proporcionar información detallada sobre intentos de inicio de sesión no autorizados o fallidos

Puede ser muy útil para detectar posibles intentos de hacking.

También almacena información sobre inicios de sesión exitosos y rastrea las actividades de los usuarios válidos.

/var/log/boot.log

El script de inicialización del sistema, /etc/init.d/bootmisc.sh, envía todos los mensajes de inicio a este archivo de registro

Este es el repositorio de información relacionada con el arranque y los mensajes registrados durante el proceso de inicio del sistema.

Debes analizar este archivo de registro para investigar problemas relacionados con un apagado incorrecto, reinicios no planificados o fallas de arranque.

También puede ser útil para determinar la duración del tiempo de inactividad del sistema causado por un apagado inesperado.

/var/log/dmesg

Este archivo de registro contiene mensajes de búfer de anillo de núcleo.

La información relacionada con los dispositivos de hardware y sus controladores se registra aquí.

A medida que el kernel detecta dispositivos físicos de hardware asociados con el servidor durante el proceso de arranque, captura el estado del dispositivo, los errores de hardware y otros mensajes genéricos.

Este archivo de registro es útil para clientes de servidores dedicados en su mayoría.

Si un cierto hardware funciona incorrectamente o no se detecta, entonces puede confiar en este archivo de registro para solucionar el problema.

/var/log/kern.log

Este es un archivo de registro muy importante ya que contiene información registrada por el kernel.

Perfecto para solucionar errores relacionados con el kernel y advertencias.

Los registros del kernel pueden ser útiles para solucionar problemas de un kernel personalizado.

También puede ser útil en la depuración de problemas de hardware y conectividad.

/var/log/faillog

Este archivo contiene información sobre intentos fallidos de inicio de sesión.

Puede ser un archivo de registro útil para descubrir cualquier intento de violación de seguridad que involucre piratería de usuario / contraseña y ataques de fuerza bruta.

/var/log/cron

Este archivo de registro registra información sobre los trabajos cron.

Cada vez que se ejecuta un trabajo cron, este archivo de registro registra toda la información relevante, incluida la ejecución exitosa y los mensajes de error en caso de fallas.

Si tienes problemas con su cron programado, debes revisar este archivo de registro.

/var/log/yum.log

Contiene la información que se registra cuando se instala un nuevo paquete con el comando yum.

Rastrear la instalación de componentes del sistema y paquetes de software.

Verifica los mensajes registrados aquí para ver si un paquete se instaló correctamente o no.

Te ayuda a solucionar problemas relacionados con las instalaciones de software.

Si sospechas que un paquete de software recientemente instalado es la causa del problema, puedes revisar este archivo de registro para averiguar los paquetes que se instalaron recientemente e identificar el programa que no funciona correctamente.

/var/log/maillog o /var/log/mail.log

Todos los registros relacionados con el servidor de correo se almacenan aquí.

Encuentre información sobre postfix, smtpd, MailScanner, SpamAssassain o cualquier otro servicio relacionado con correo electrónico que se ejecute en el servidor de correo.

Rastrea todos los correos electrónicos que fueron enviados o recibidos durante un período particular

Investiga los problemas de entrega de correo fallido.

Obtén información sobre posibles intentos de spam bloqueados por el servidor de correo.

Rastrea el origen de un correo electrónico entrante examinando este archivo de registro.

var/log/httpd/

Este directorio contiene los datos registrados por el servidor Apache.

La información de registro del servidor Apache se almacena en dos archivos de registro diferentes: error_log y access_log.

El error_log contiene mensajes relacionados con errores de httpd, como problemas de memoria y otros errores relacionados con el sistema.

Este es el lugar donde el servidor Apache escribe eventos y registros de errores encontrados al procesar solicitudes httpd.

Si algo va mal con el servidor web Apache, consulte este registro para obtener información de diagnóstico.

Además del archivo de registro de errores, Apache también mantiene una lista separada de access_log.

Todas las solicitudes de acceso recibidas a través de HTTP se almacenan en el archivo access_log.

Te ayuda a realizar un seguimiento de cada página servida y cada archivo cargado por Apache.

Registra la dirección IP y el ID de usuario de todos los clientes que realizan solicitudes de conexión al servidor.

Almacena información sobre el estado de las solicitudes de acceso, ya sea si la respuesta se envió con éxito o si la solicitud resultó en un error.

/var/log/mysqld.log o /var/log/mysql.log

Como su nombre lo indica, este es el archivo de registro de MySQL.

Todos los mensajes de depuración, error y éxito relacionados con el daemon [mysqld] y [mysqld_safe] se registran en este archivo.

RedHat, CentOS y Fedora almacenan los registros de MySQL en /var/log/mysqld.log, mientras que Debian y Ubuntu mantienen el registro en el directorio /var/log/mysql.log.

Utiliza este registro para identificar problemas al iniciar, ejecutar o detener mysqld.

Obtén información sobre las conexiones del cliente al directorio de datos de MySQL

También puedes configurar el parámetro ‘long_query_time’ para registrar información sobre los bloqueos de consulta y las consultas de ejecución lenta.

Espero que te haya servido. Comenta y comparte.