Logs: Aprende a utilizarlos. Guía completa para empresas Inteligentes y seguras

Los archivos de registro (logs) proporcionan información muy importante sobre las actividades implícitas y explícitas de cualquier sistema de hardware y software informático. Este tipo de registro contiene toda la información sobre el funcionamiento normal de una máquina o programa, ayudando a interceptar anomalías y problemas, apoyando la seguridad

Actualizado el 24 Ene 2024

TEST IMMAGINE CARICATA

¿Qué son los logs o archivos de registro y por qué son tan importantes? Un log es un registro secuencial y cronológico de las operaciones realizadas por un sistema informático (servidor, almacenamiento, cliente, aplicación o cualquier otro dispositivo o programa informático).

Estas operaciones pueden ser llevadas a cabo por un usuario, o pueden ser totalmente automatizadas. Los procedimientos de registro son típicamente aquellas actividades a través de las cuales un sistema operativo o una aplicación registra eventos y los almacena. Estos registros se denominan archivos de registro.

Qué es un log

Los archivos de registro son archivos que contienen mensajes sobre el sistema, incluyendo el kernel, los servicios y las aplicaciones en ejecución.

Los registros contienen toda la información sobre el funcionamiento normal de la máquina y, sobre todo, los registros de errores y problemas. La línea siempre comienza con una indicación de cuándo se hizo la grabación, el nombre del ordenador que ejecuta el programa que generó el registro y, a menudo, el nombre del propio programa. Dependiendo del sistema de registro, el tipo de información cambia. Un archivo de registro, por tanto, es secuencial y siempre está abierto a la escritura. Una vez cerrado, se almacena a intervalos regulares, quedando así disponible para apoyar las actividades de supervisión (registro) y administración funcional. Al leer los archivos de registro, se obtienen detalles importantes.

Para qué sirven los logs

  1. Registro de actividad: Capturan secuencial y cronológicamente todas las operaciones de un sistema informático.
  2. Diagnóstico y resolución de problemas: Facilitan la identificación rápida de errores y anomalías, agilizando la corrección de problemas.
  3. Supervisión continua: Permiten monitorear el funcionamiento normal de la máquina y detectar cualquier desviación.
  4. Seguridad y cumplimiento normativo: Apoyan la identificación de accesos no autorizados, contribuyendo al cumplimiento de regulaciones de seguridad.
  5. Análisis forense: Sirven como evidencia detallada en investigaciones, facilitando el análisis de eventos pasados.
  6. Detección de intrusos: Contribuyen a identificar patrones de comportamiento sospechoso o intentos de intrusiones.
  7. Optimización del rendimiento: Ofrecen datos valiosos sobre el uso de recursos, ayudando a mejorar la eficiencia del sistema.
  8. Auditoría y cumplimiento legal: Respaldan la creación de registros necesarios para cumplir con requisitos legales y normativos.
  9. Análisis de usabilidad: Proporcionan información sobre la interacción de los usuarios, mejorando la experiencia y el diseño.
  10. Monitorización de actividades específicas: Posibilitan el seguimiento detallado de acciones como archivos abiertos, comandos ejecutados, entre otros.

Origen de término logs

El término “log” en el contexto informático tiene su origen en las traducciones del inglés de la jerga informática. En inglés, “log” hace referencia al cuaderno de bitácora utilizado por el comandante de un navío para consignar los eventos durante la travesía. Hay dos posibles orígenes propuestos para este término. Uno sugiere que proviene de la corredera (log en inglés), un instrumento con nudos que se lanzaba desde los barcos para medir la rapidez de la embarcación. Otro relato sostiene que en la entrada de un cuartel había una cabaña de troncos (log cabin) con un registro (log book) donde se consignaban las entradas y salidas de los soldados, y por extensión, se le llamó “log” al registro. Así, “log in” y “log out” indicaban entrar y salir respectivamente. Este uso se ha trasladado a la informática para describir la grabación secuencial de eventos o acciones.

Primeros usos

El origen del uso de logs en informática se remonta a las décadas de 1950 y 1960, cuando las computadoras mainframe comenzaron a ser empleadas en entornos empresariales y académicos. Estos registros eran cruciales para realizar un seguimiento de operaciones, eventos y actividades en las máquinas, facilitando el diagnóstico de problemas, la supervisión del rendimiento y la auditoría. A lo largo del tiempo, el concepto de logs se ha expandido y adaptado a diversos usos, desempeñando un papel fundamental en áreas como la seguridad informática, la administración de redes y el cumplimiento de normativas legales, convirtiéndose en una práctica esencial para garantizar la integridad y eficiencia de los sistemas informáticos.

Destacados investigadores en el ámbito de los registros y la seguridad informática incluyen a Mihir Bellare y Bennet Yee, quienes introdujeron la noción de integridad hacia adelante; Bruce Schneier y John Kelsey, pioneros en sistemas concretos para logs seguros; Jason E. Holt, creador de Logcrypt, una variante que emplea firmas digitales en lugar de MAC; y Giorgia Azzurra Marson y Bertram Poettering, quienes desarrollaron un sistema utilizando MAC y una cadena de hash. Sus contribuciones han impulsado la investigación en la protección de la integridad y seguridad de los registros, explorando diversos enfoques y mejoras tecnológicas en este campo.

Tipos de archivos de registro

Hay varios tipos de archivos de registro: el archivo de registro por defecto del sistema, los mensajes asociados a la seguridad, etc. Por lo tanto, los archivos de registro pueden ser muy útiles para apoyar el diagnóstico, acelerando la resolución de problemas relacionados con el uso de los sistemas. ¿Un ejemplo? Al buscar un registro no autorizado.

  1. Archivo de registro del sistema:
    • Registra eventos y operaciones esenciales del sistema operativo.
    • Proporciona información sobre el funcionamiento general de la máquina.
  2. Mensajes asociados a la seguridad:
    • Registra eventos relacionados con la seguridad y accesos al sistema.
    • Contiene detalles sobre intentos de acceso no autorizados.
  3. Registros de aplicaciones:
    • Documenta operaciones específicas realizadas por aplicaciones en ejecución.
    • Ofrece insights sobre el rendimiento y comportamiento de las aplicaciones.
  4. Registros de errores y problemas:
    • Almacena información detallada sobre errores y problemas encontrados.
    • Facilita la identificación y resolución de incidencias en el sistema.
  5. Registros de seguridad:
    • Registra eventos relacionados con la seguridad y cumplimiento normativo.
    • Esencial para la monitorización y mitigación de posibles amenazas.
  6. Registros de acceso:
    • Documenta accesos al sistema, incluyendo detalles temporales y de usuario.
    • Importante para la auditoría y cumplimiento de normativas legales.
  7. Registros de red:
    • Registra eventos y actividades a nivel de red.
    • Permite analizar patrones de tráfico y detectar posibles amenazas.
  8. Registros de aplicaciones específicas:
    • Adaptados a aplicaciones particulares, registran eventos específicos.
    • Ayudan en la optimización y resolución de problemas específicos de la aplicación.
  9. Registros de diagnóstico:
    • Contienen información para el diagnóstico y resolución de problemas.
    • Esencial para mantener un rendimiento óptimo del sistema.
  10. Registros de rendimiento:
    • Registran datos relacionados con el rendimiento del sistema y aplicaciones.
    • Facilitan la identificación de cuellos de botella y optimización de recursos

Cómo encontrar los archivos logs

Los logs del servidor web se pueden encontrar de una manera rápida. Primero, se accede al panel de control. Luego, se va hacia “Sitios web y dominios”, y posteriormente al primer grupo de íconos, se cliquea sobre el hipervínculo llamado “mostrar operaciones avanzadas”. Allí, se selecciona la opción “Registros”, lo cual conduce a una nómina de ficheros de logs asociados al sitio de internet cuyos registros se quieren averiguar. Los ficheros visibles son: el de acceso al sitio de internet (tanto del día de hoy como también de los anteriores -incluyendo acceso por SSL-), el de errores (también del día actual y de los precedentes), el de proxy web (si está habilitado -asimismo, tiene la opción de SSL-), y el de acceso al webmail (también con SSL).

Estos logs se ubican en el directorio “/var/logs”. Para descargarlos, hay servicios especializados que permiten extraerlos mediante un programa zip el cual, a su vez, pregunta al usuario cómo deben extraerse los archivos (es decir, qué extensión o terminación se les quiere adosar -por ejemplo, “.txt”, “.doc” o “.xls”-). También se puede descargar un archivo trace.zip que engloba todos los archivos de registro (tanto reciente como archivados). Cuando se alcanza el tope del tamaño de archivo, este se comprime y se guarda el archivo “*.log.gz”. Acto seguido, los datos se registran en un archivo nuevo descomprimido.

Cómo acceder a los archivos de registros en Windows

En todas las versiones de servidores Windows se encuentra la aplicación llamada Visor de Eventos (Event Viewer), al cual se accede desde el “Menú” y donde se pueden encontrar toda las actividad que ocurran dentro del sistema (registro de actividad), como errores y advertencias.

Cuando ingresen observarán que el visor de eventos cuenta con cuatro apartados que son: Vistas personalizadas; Registros de Windows, Registros de aplicaciones y servicios; y Suscripciones.

Al entrar a los Registros de Windows verán que se divide en cuatro categorías: Aplicación: Seguridad; Instalación; Sistema; Eventos reenviados.

Cómo acceder a los archivos de registros de Linux

Los registros son una herramienta bastante valiosa y ponderada a la hora de resolver problemas del sistema. ¿Por qué? De hecho es a lo primero que debería acudir una persona que quiera resolver inconvenientes. Éstos registros de archivos se almacenan sin texto ni formato, y se pueden encontrar en el directorio y subdirectorio /var/log. Podrán encontrar registros de Linux literalmente para todo: procesos de arranque, Kernet, administradores de paquete, sistema, Apache, Xorg

Nomenclatura de los logs

En cuanto a la nomenclatura de los logs, el nombre de archivo de registro que corresponde para un agregador posee un valor predeterminado. Sin embargo, al crearse el archivo en la carpeta de destino, se adosa como prefijo el nombre de alojamiento del servidor de aplicaciones al nombre de archivo ya predeterminado. A su vez, se agrega el nombre de servidor del sistema al nombre de archivo predeterminado (también como prefijo).

La importancia de los registros para la seguridad

La gestión de logs o registros permite solucionar problemas y controlar una serie de actividades. Una de ellas son los accesos al sistema en un periodo de tiempo determinado (destacando también los que se produjeron fuera del horario laboral, los que fallaron o los que se realizaron a través de VPN), las transacciones fallidas, las posibles anomalías (tanto de software como de hardware) y las posibles amenazas de malware. En resumen, los registros son un activo relevante para satisfacer eficazmente las necesidades de protección de datos y continuidad del servicio. Además, a nivel internacional, todas las normativas de seguridad de la información exigen la creación de políticas precisas de registro. Por lo tanto, es fácil entender por qué los registros representan un activo fundamental para satisfacer eficazmente las necesidades de seguridad informática y de cumplimiento de las empresas.

New call-to-action

El mercado de la gestión de registros

En 2020, el mercado mundial de sistemas de gestión de registros fue de 3.900 millones de dólares y las proyecciones marcan que para 2027 podría alcanzar los 8.800 millones de dólares. La tecnología móvil, el BYOD, la nube y el Internet de las Cosas han aumentado exponencialmente la cantidad de datos que circulan por las redes y las operaciones de TI en las empresas se han vuelto cada vez más complejas como resultado. En este entorno, cada vez más caótico, ha crecido la necesidad de seguridad, protección de datos y continuidad del servicio. La gestión de registros es una herramienta eficaz para satisfacer estas necesidades de forma sencilla y eficiente.

Con un buen sistema de gestión de registros, las empresas pueden cumplir los requisitos normativos, contar con una herramienta óptima de supervisión y control, aprovechar las ventajas de la inteligencia empresarial y garantizar un alto nivel de seguridad.

Archivos de registro y el GDPR europeo

El GDPR ha traído consigo importantes cambios en la forma de tratar los archivos de registro. Antes, eran una necesidad para los administradores de sistemas, y en algunos casos una obligación. Con el GDPR, se han convertido en una herramienta necesaria de la que las empresas no pueden prescindir.

En la práctica, el Reglamento exige que se mantenga un registro de las operaciones realizadas con los datos. Esto es así para que, en caso de control, se pueda demostrar que se han tomado todas las medidas de protección. En este sentido, guardar los archivos de registro es muy útil.

En concreto, según el Garante della Privacy, los archivos de registro deben ser completos, incluyendo a los que ejecutan las acciones, pero también a los que acceden a los datos que se consultan. También deben ser inalterables y verificables (es decir, permitir el control del uso correcto de los datos).

Errores cometidos por las empresas en relación con los logs

A pesar de todos los beneficios descritos anteriormente, la gestión de los registros todavía parece ser subestimada con demasiada frecuencia por las empresas. Cuando se implanta una solución de gestión de registros, puede ser demasiado tarde. Las empresas explotan este sistema cuando el problema o el ataque de los hackers ya se ha producido. Y eso no es todo.

También puede ser necesario proporcionar información precisa de forma rápida y eficaz a los directivos de la empresa o incluso a la policía. Son situaciones en las que un sistema de gestión de registros ofrece la posibilidad de satisfacer las necesidades de forma rápida y sencilla.

Ventajas del uso de logs

Las soluciones de gestión de registros pueden proporcionar instantáneas del estado de los hosts y servicios. Dan cuenta de cualquier comportamiento inusual que pueda ser una señal de peligro. Y no solo eso. Disponer de una copia remota de los archivos de registro permite analizar los posibles problemas de un determinado sistema. Incluso si el sistema no es accesible. Y para evitar la pérdida de datos (ya sea en caso de un fallo de hardware o de software).

Además, las buenas prácticas de gestión de los troncos pueden aportar beneficios no solo en términos estrictamente operativos, sino también desde la perspectiva del marketing. Se sabe que los datos son un valioso activo empresarial. La gestión de registros puede proporcionar información importante sobre los hábitos y el momento de acceso a los portales web relevantes, las páginas más visitadas y las comunicaciones que entran y salen de la empresa.

Plataformas para ver los archivos de registro (logs)

Para ver los archivos de registro de una forma utilizable, se pueden utilizar plataformas tales como:

Splunk

Convierte los datos de las máquinas en respuestas, ya que permite recoger, buscar, guardar, indexar, vincular, ver y analizar cualquier dato generado por la máquina.

SolarWinds Log Analyzer

Indaga con sencillez la información para poder identificar más rápido la raíz de las fallas. También agrega registros, etiquetas, filtros y alertas, y hace búsquedas con múltiples criterios y filtros. Además, proporciona un registro interactivo en tiempo real y etiquetas codificadas con colores para registrar los datos y tener una rápida identificación de los problemas de rendimiento y disponibilidad.

ManageEngine EventLog Analyzer

Hace un registro de punta a punta. Puede gestionar logs, y auditar aplicaciones, redes y plataformas cruzadas. Supervisa los dispositivos de red, y los registros de seguridad, aplicaciones y eventos. Descubre patrones de ataque complejos con ayuda de la correlación de eventos en tiempo real. También recolecta, analizar y correlaciona cualquier dato del registro de aplicaciones.

Sematext Logs

Es una solución de gestión centralizada de registros que posibilita reunir, guardar, indexar y realizar análisis en tiempo real de los logs procedentes de diversas fuentes de datos. Tiene flujo de registro en vivo, alertas y grandes capacidades de búsqueda y filtrado para resolver inconvenientes más rápido. Permite tener una correlación en tiempo real de los registros con las métricas y otros eventos, y maneja enormes volúmenes de datos.

LogDNA

Proporciona el despliegue en la nube, multinube, y en las instalaciones. Tiene cualidades de una interfaz moderna, búsqueda y filtrado rápido, y alerta inteligente, además de alertas en tiempo real, archivado y análisis de campo automático. Posee certificación por el escudo de privacidad puede manejar un millón de eventos de registro por segundo y más de 100 terabytes diarios por cliente.

Tecnologías y herramientas adicionales utilizadas en la gestión de registros

En el ámbito de la gestión de registros, las organizaciones aprovechan diversas tecnologías y herramientas adicionales para optimizar la seguridad y la eficiencia operativa. Un componente esencial es la implementación de sistemas de SIEM (Security Information and Event Management). Estos sistemas desempeñan un papel integral al proporcionar una plataforma unificada para la recopilación, correlación y análisis de datos de registros en tiempo real. Algunas soluciones destacadas de SIEM incluyen Splunk, IBM QRadar y ArcSight. Además, las organizaciones emplean herramientas específicas para el análisis de logs, como ELK Stack (Elasticsearch, Logstash, Kibana), Graylog y Sumo Logic, que permiten una exploración y visualización eficientes de registros extensos.

En el panorama actual de ciberseguridad, las soluciones de detección de amenazas son fundamentales. Herramientas como FireEye, CrowdStrike y Darktrace ofrecen capacidades avanzadas para identificar actividades maliciosas a través del análisis de comportamientos anómalos y la detección de patrones asociados a amenazas conocidas y emergentes. Estas tecnologías trabajan en conjunto para proporcionar una defensa integral, ayudando a las organizaciones a anticipar y mitigar proactivamente posibles riesgos de seguridad. La implementación estratégica de estas herramientas complementarias fortalece la postura de seguridad de una organización, permitiéndole enfrentar los desafíos en constante evolución del panorama cibernético.

¿Cómo se hace un análisis de logs? 

Analizar los archivos de registro significa analizar la lista de solicitudes de acceso realizadas al servidor web que aloja el sitio. Para cada una de estas peticiones se suele indicar: fecha y hora, URL, agente de usuario, dirección IP del agente de usuario, código de estado, tiempo de respuesta del servidor, página de la que procede el usuario y el alcance de esa petición.

Una de las primeras cosas que hay que entender sobre el usuario del que procede la solicitud es si el sitio es escaneado por bots maliciosos o inútiles. Esto es para evitar su acceso y aliviar el servidor.

El análisis de las URL es útil para conocer la velocidad del sitio, si hay páginas demasiado grandes, demasiado lentas, etc.

El análisis de directorios se utiliza para escanear los directorios más importantes para su organización. También es necesario averiguar, mirando los códigos de estado, si hay enlaces rotos y hasta qué punto se siguen usando.

En la práctica, el análisis de los archivos de registro es una buena manera de gestión y control y de saber qué páginas se visitan más y con qué frecuencia. Es útil para comprobar si hay errores en el código del software en línea y buscar agujeros de seguridad. También se utiliza para recoger datos sobre los usuarios del sitio y mejorar la experiencia del usuario. El análisis de logs también ayuda a la toma de decisiones y a detectar patrones erróneos

Casos de éxito en el uso de archivos Logs

  1. Caso Target (2013):
    • En 2013, la cadena minorista Target sufrió un importante ataque cibernético que afectó a millones de clientes. El ataque se llevó a cabo a través de la red de proveedores, pero la detección y resolución se basaron en el análisis de registros. La revisión de los logs permitió identificar actividades inusuales, alertando a los equipos de seguridad sobre la intrusión.
  2. Caso Sony Pictures (2014):
    • En 2014, Sony Pictures experimentó un ataque devastador que resultó en la filtración masiva de datos confidenciales. La investigación reveló que la detección temprana y la respuesta rápida se facilitaron mediante el análisis de registros. Los registros permitieron rastrear la actividad de los atacantes y comprender la extensión del compromiso.
  3. Caso Equifax (2017):
    • En 2017, Equifax, una de las principales agencias de informes crediticios, sufrió una violación de datos importante. La gestión de registros fue esencial para identificar la vulnerabilidad que condujo al ataque. La revisión de los logs reveló una vulnerabilidad de software no parcheada, lo que llevó a una respuesta más rápida y medidas de seguridad mejoradas.
  4. Caso Stuxnet (2010):
    • El ataque Stuxnet a las instalaciones nucleares en Irán fue descubierto gracias al análisis de registros. Los expertos en seguridad analizaron los registros para identificar patrones de comportamiento inusuales en los sistemas de control industrial, lo que llevó al descubrimiento de esta sofisticada amenaza cibernética.
  5. Caso JPMorgan Chase (2014):
    • En 2014, JPMorgan Chase fue víctima de un ataque que comprometió la información de millones de clientes. El análisis de registros fue crucial para identificar la actividad maliciosa, permitiendo a los equipos de seguridad contener la amenaza y mejorar las defensas para evitar futuros ataques similares.

Integración con cumplimiento legal

La integración de los logs con el cumplimiento legal va más allá de simplemente abordar el Reglamento General de Protección de Datos (GDPR). Las empresas deben considerar una variedad de regulaciones específicas de la industria y regionales que imponen requisitos estrictos para la gestión de datos y la seguridad de la información. Ejemplos incluyen la Ley de Privacidad del Consumidor de California (CCPA) en los Estados Unidos, la Ley de Protección de Datos Personales en Brasil (LGPD), así como normativas sectoriales como la Ley de Responsabilidad y Seguridad de la Información de la Industria de la Salud (HIPAA) en el ámbito de la salud. La implementación efectiva de estrategias de gestión de registros permite a las empresas demostrar conformidad con estas regulaciones al proporcionar una trazabilidad completa de las actividades de registro, asegurando la privacidad de los datos sensibles y facilitando respuestas eficientes a solicitudes de auditoría y requisitos legales. La correcta alineación de los logs con los marcos normativos aplicables no solo fortalece la posición legal de la empresa, sino que también contribuye a construir la confianza de los clientes y a mitigar riesgos asociados con incumplimientos normativos.

Artículo publicado originalmente en 02 Dic 2022

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Nota 1 de 3