Análisis en profundidad

Logs o archivos de registro (log): qué utilidad tienen y cómo analizarlos

Los archivos de registro (logs) proporcionan información muy importante sobre las actividades implícitas y explícitas de cualquier sistema de hardware y software informático. Este tipo de registro contiene toda la información sobre el funcionamiento normal de una máquina o programa, ayudando a interceptar anomalías y problemas, apoyando la seguridad

02 Dic 2022

Laura Zanotti

Logs

¿Qué son los logs o archivos de registro y por qué son tan importantes? Un log es un registro secuencial y cronológico de las operaciones realizadas por un sistema informático (servidor, almacenamiento, cliente, aplicación o cualquier otro dispositivo o programa informático).

Estas operaciones pueden ser llevadas a cabo por un usuario, o pueden ser totalmente automatizadas. Los procedimientos de registro son típicamente aquellas actividades a través de las cuales un sistema operativo o una aplicación registra eventos y los almacena. Estos registros se denominan archivos de registro.

Qué es un log y para qué sirve 

Los archivos de registro son archivos que contienen mensajes sobre el sistema, incluyendo el kernel, los servicios y las aplicaciones en ejecución.

Los registros contienen toda la información sobre el funcionamiento normal de la máquina y, sobre todo, los registros de errores y problemas. La línea siempre comienza con una indicación de cuándo se hizo la grabación, el nombre del ordenador que ejecuta el programa que generó el registro y, a menudo, el nombre del propio programa. Dependiendo del sistema de registro, el tipo de información cambia. Un archivo de registro, por tanto, es secuencial y siempre está abierto a la escritura. Una vez cerrado, se almacena a intervalos regulares, quedando así disponible para apoyar las actividades de supervisión (registro) y administración funcional. Al leer los archivos de registro, se obtienen detalles importantes.

Hay varios tipos de archivos de registro: el archivo de registro por defecto del sistema, los mensajes asociados a la seguridad, etc. Por lo tanto, los archivos de registro pueden ser muy útiles para apoyar el diagnóstico, acelerando la resolución de problemas relacionados con el uso de los sistemas. ¿Un ejemplo? Al buscar un registro no autorizado.

Cómo encontrar los archivos logs

Los logs del servidor web se pueden encontrar de una manera rápida. Primero, se accede al panel de control. Luego, se va hacia “Sitios web y dominios”, y posteriormente al primer grupo de íconos, se cliquea sobre el hipervínculo llamado “mostrar operaciones avanzadas”. Allí, se selecciona la opción “Registros”, lo cual conduce a una nómina de ficheros de logs asociados al sitio de internet cuyos registros se quieren averiguar. Los ficheros visibles son: el de acceso al sitio de internet (tanto del día de hoy como también de los anteriores -incluyendo acceso por SSL-), el de errores (también del día actual y de los precedentes), el de proxy web (si está habilitado -asimismo, tiene la opción de SSL-), y el de acceso al webmail (también con SSL).

Estos logs se ubican en el directorio “/var/logs”. Para descargarlos, hay servicios especializados que permiten extraerlos mediante un programa zip el cual, a su vez, pregunta al usuario cómo deben extraerse los archivos (es decir, qué extensión o terminación se les quiere adosar -por ejemplo, “.txt”, “.doc” o “.xls”-). También se puede descargar un archivo trace.zip que engloba todos los archivos de registro (tanto reciente como archivados). Cuando se alcanza el tope del tamaño de archivo, este se comprime y se guarda el archivo “*.log.gz”. Acto seguido, los datos se registran en un archivo nuevo descomprimido.

Cómo acceder a los archivos de registros en Windows

En todas las versiones de servidores Windows se encuentra la aplicación llamada Visor de Eventos (Event Viewer), al cual se accede desde el “Menú” y donde se pueden encontrar toda las actividad que ocurran dentro del sistema (registro de actividad), como errores y advertencias.

Cuando ingresen observarán que el visor de eventos cuenta con cuatro apartados que son: Vistas personalizadas; Registros de Windows, Registros de aplicaciones y servicios; y Suscripciones.

Al entrar a los Registros de Windows verán que se divide en cuatro categorías: Aplicación: Seguridad; Instalación; Sistema; Eventos reenviados.

Cómo acceder a los archivos de registros de Linux

Los registros son una herramienta bastante valiosa y ponderada a la hora de resolver problemas del sistema. ¿Por qué? De hecho es a lo primero que debería acudir una persona que quiera resolver inconvenientes. Éstos registros de archivos se almacenan sin texto ni formato, y se pueden encontrar en el directorio y subdirectorio /var/log. Podrán encontrar registros de Linux literalmente para todo: procesos de arranque, Kernet, administradores de paquete, sistema, Apache, Xorg

Nomenclatura de los logs

En cuanto a la nomenclatura de los logs, el nombre de archivo de registro que corresponde para un agregador posee un valor predeterminado. Sin embargo, al crearse el archivo en la carpeta de destino, se adosa como prefijo el nombre de alojamiento del servidor de aplicaciones al nombre de archivo ya predeterminado. A su vez, se agrega el nombre de servidor del sistema al nombre de archivo predeterminado (también como prefijo).

La importancia de los registros para la seguridad

La gestión de logs o registros permite solucionar problemas y controlar una serie de actividades. Una de ellas son los accesos al sistema en un periodo de tiempo determinado (destacando también los que se produjeron fuera del horario laboral, los que fallaron o los que se realizaron a través de VPN), las transacciones fallidas, las posibles anomalías (tanto de software como de hardware) y las posibles amenazas de malware. En resumen, los registros son un activo relevante para satisfacer eficazmente las necesidades de protección de datos y continuidad del servicio. Además, a nivel internacional, todas las normativas de seguridad de la información exigen la creación de políticas precisas de registro. Por lo tanto, es fácil entender por qué los registros representan un activo fundamental para satisfacer eficazmente las necesidades de seguridad y de cumplimiento de las empresas.

New call-to-action

El mercado de la gestión de registros

En 2020, el mercado mundial de sistemas de gestión de registros fue de 3.900 millones de dólares y las proyecciones marcan que para 2027 podría alcanzar los 8.800 millones de dólares. La tecnología móvil, el BYOD, la nube y el Internet de las Cosas han aumentado exponencialmente la cantidad de datos que circulan por las redes y las operaciones de TI en las empresas se han vuelto cada vez más complejas como resultado. En este entorno, cada vez más caótico, ha crecido la necesidad de seguridad, protección de datos y continuidad del servicio. La gestión de registros es una herramienta eficaz para satisfacer estas necesidades de forma sencilla y eficiente.

Con un buen sistema de gestión de registros, las empresas pueden cumplir los requisitos normativos, contar con una herramienta óptima de supervisión y control, aprovechar las ventajas de la inteligencia empresarial y garantizar un alto nivel de seguridad.

Archivos de registro y el GDPR europeo

El GDPR ha traído consigo importantes cambios en la forma de tratar los archivos de registro. Antes, eran una necesidad para los administradores de sistemas, y en algunos casos una obligación. Con el GDPR, se han convertido en una herramienta necesaria de la que las empresas no pueden prescindir.

En la práctica, el Reglamento exige que se mantenga un registro de las operaciones realizadas con los datos. Esto es así para que, en caso de control, se pueda demostrar que se han tomado todas las medidas de protección. En este sentido, guardar los archivos de registro es muy útil.

En concreto, según el Garante della Privacy, los archivos de registro deben ser completos, incluyendo a los que ejecutan las acciones, pero también a los que acceden a los datos que se consultan. También deben ser inalterables y verificables (es decir, permitir el control del uso correcto de los datos).

Errores cometidos por las empresas en relación con los logs

A pesar de todos los beneficios descritos anteriormente, la gestión de los registros todavía parece ser subestimada con demasiada frecuencia por las empresas. Cuando se implanta una solución de gestión de registros, puede ser demasiado tarde. Las empresas explotan este sistema cuando el problema o el ataque de los hackers ya se ha producido. Y eso no es todo.

También puede ser necesario proporcionar información precisa de forma rápida y eficaz a los directivos de la empresa o incluso a la policía. Son situaciones en las que un sistema de gestión de registros ofrece la posibilidad de satisfacer las necesidades de forma rápida y sencilla.

Ventajas del uso de logs

Las soluciones de gestión de registros pueden proporcionar instantáneas del estado de los hosts y servicios. Dan cuenta de cualquier comportamiento inusual que pueda ser una señal de peligro. Y no solo eso. Disponer de una copia remota de los archivos de registro permite analizar los posibles problemas de un determinado sistema. Incluso si el sistema no es accesible. Y para evitar la pérdida de datos (ya sea en caso de un fallo de hardware o de software).

Además, las buenas prácticas de gestión de los troncos pueden aportar beneficios no solo en términos estrictamente operativos, sino también desde la perspectiva del marketing. Se sabe que los datos son un valioso activo empresarial. La gestión de registros puede proporcionar información importante sobre los hábitos y el momento de acceso a los portales web relevantes, las páginas más visitadas y las comunicaciones que entran y salen de la empresa.

Plataformas para ver los archivos de registro (logs)

Para ver los archivos de registro de una forma utilizable, se pueden utilizar plataformas tales como:

Splunk

Convierte los datos de las máquinas en respuestas, ya que permite recoger, buscar, guardar, indexar, vincular, ver y analizar cualquier dato generado por la máquina.

SolarWinds Log Analyzer

Indaga con sencillez la información para poder identificar más rápido la raíz de las fallas. También agrega registros, etiquetas, filtros y alertas, y hace búsquedas con múltiples criterios y filtros. Además, proporciona un registro interactivo en tiempo real y etiquetas codificadas con colores para registrar los datos y tener una rápida identificación de los problemas de rendimiento y disponibilidad.

ManageEngine EventLog Analyzer

Hace un registro de punta a punta. Puede gestionar logs, y auditar aplicaciones, redes y plataformas cruzadas. Supervisa los dispositivos de red, y los registros de seguridad, aplicaciones y eventos. Descubre patrones de ataque complejos con ayuda de la correlación de eventos en tiempo real. También recolecta, analizar y correlaciona cualquier dato del registro de aplicaciones.

Sematext Logs

Es una solución de gestión centralizada de registros que posibilita reunir, guardar, indexar y realizar análisis en tiempo real de los logs procedentes de diversas fuentes de datos. Tiene flujo de registro en vivo, alertas y grandes capacidades de búsqueda y filtrado para resolver inconvenientes más rápido. Permite tener una correlación en tiempo real de los registros con las métricas y otros eventos, y maneja enormes volúmenes de datos.

LogDNA

Proporciona el despliegue en la nube, multinube, y en las instalaciones. Tiene cualidades de una interfaz moderna, búsqueda y filtrado rápido, y alerta inteligente, además de alertas en tiempo real, archivado y análisis de campo automático. Posee certificación por el escudo de privacidad puede manejar un millón de eventos de registro por segundo y más de 100 terabytes diarios por cliente.

¿Cómo se hace un análisis de logs? 

Analizar los archivos de registro significa analizar la lista de solicitudes de acceso realizadas al servidor web que aloja el sitio. Para cada una de estas peticiones se suele indicar: fecha y hora, URL, agente de usuario, dirección IP del agente de usuario, código de estado, tiempo de respuesta del servidor, página de la que procede el usuario y el alcance de esa petición.

Una de las primeras cosas que hay que entender sobre el usuario del que procede la solicitud es si el sitio es escaneado por bots maliciosos o inútiles. Esto es para evitar su acceso y aliviar el servidor.

El análisis de las URL es útil para conocer la velocidad del sitio, si hay páginas demasiado grandes, demasiado lentas, etc.

El análisis de directorios se utiliza para escanear los directorios más importantes para su organización. También es necesario averiguar, mirando los códigos de estado, si hay enlaces rotos y hasta qué punto se siguen usando.

En la práctica, el análisis de los archivos de registro es una buena manera de gestión y control y de saber qué páginas se visitan más y con qué frecuencia. Es útil para comprobar si hay errores en el código del software en línea y buscar agujeros de seguridad. También se utiliza para recoger datos sobre los usuarios del sitio y mejorar la experiencia del usuario. El análisis de logs también ayuda a la toma de decisiones y a detectar patrones erróneos

 

@RESERVADOS TODOS LOS DERECHOS
Temas principales

Especificaciones

C
computadoras
E
Empresas
S
sistemas

Nota 1 de 5