Conoce los ficheros de registro (logs) de Linux

linux-drivers

El sistema operativo GNU/Linux en sí ofrece muchas posibilidades y flexibilidad por sí solo, sin necesidad de agregados. Pero en la mayoría de los casos, los usuarios desaprovechan su potencial y hacen uso de otras herramientas que a veces redundan en las posibilidades que ya ofrece el sistema de forma nativa. Pues bien, hoy les vamos a hablar de los logs, aunque necesitaría más de un artículo para adentrarse en este mundo de forma avanzada, presentaremos algunas nociones básicas de ellos y cómo nos pueden ayudar a nivel técnico, seguridad, etc.

Puedes acceder a ellos con tan solo dirigirte al directorio /var/log del sistema, y allí encontrarás una serie de subdirectorios y ficheros muy interesantes con una información muy valiosa, desde errores para detectar y corregir problemas del sistema o con el hardware, hasta otra información como los accesos que ha tenido tu sistema para detectar, por ejemplo, intrusos que han entrado sin tu consentimiento. De hecho, estos logs suelen ser borrados o modificados por los asaltantes para no dejar constancia o rastro de su acceso.

¿Qué nos podemos encontrar en /var/log? Pues bien, podemos encontrar una serie de subdirectorios como:

  • /var/log/message: registro de los mensajes generales del sistema.
  • /var/log/auth.log: log de autenticación.
  • /var/log/kern.log: registro del kernel, muy interesante para detectar problemas con el núcleo.
  • /var/log/cron.log: registro de la herramienta de crond
  • /var/log/maillog: registro del servidor de emails.
  • /var/log/qmail: registro de Qmail.
  • /var/log/httpd: registro de errores y accesos del servidor web Apache
  • /var/log/lightpd: registro de errores y acceso a Lighttpd.
  • /var/log/boot.log: registro de inicio del sistema, si se producen problemas al inicio, es aquí donde tenemos que acudir.
  • /var/log/mysqld.log: registro para la base de datos MySQL.
  • /var/log/secure: log de autenticación, muy importante para la seguridad, ya que podrás ver lo referente a la autenticación del sistema.
  • /var/log/utmp o /var/log/wtmp: registro de logins.

Por ejemplo, si quieres saber si alguien se ha autenticado en el sistema, podrás ver las fechas y horas de inicios de sesión que se hicieron de forma remota por SSH desde la red, algo que muchos atacantes aprovechan si han conseguido tu nombre de usuario y contraseña para penetrar en el equipo de forma remota:


cd /var/log

grep sshd/var/log/auth.log | less

Con esto te filtra las sesiones por SSH, pero puedes usar cat o un editor de texto para ver el log completo si lo deseas…


Un comentario

  1.   g dijo

    muy interesante publicacion

Escribe un comentario