Conoce los ficheros de registro (logs) de Linux

Isaac

2 minutos

linux-drivers

El sistema operativo GNU/Linux en sí ofrece muchas posibilidades y flexibilidad por sí solo, sin necesidad de agregados. Pero en la mayoría de los casos, los usuarios desaprovechan su potencial y hacen uso de otras herramientas que a veces redundan en las posibilidades que ya ofrece el sistema de forma nativa. Pues bien, hoy les vamos a hablar de los logs, aunque necesitaría más de un artículo para adentrarse en este mundo de forma avanzada, presentaremos algunas nociones básicas de ellos y cómo nos pueden ayudar a nivel técnico, seguridad, etc.

Puedes acceder a ellos con tan solo dirigirte al directorio /var/log del sistema, y allí encontrarás una serie de subdirectorios y ficheros muy interesantes con una información muy valiosa, desde errores para detectar y corregir problemas del sistema o con el hardware, hasta otra información como los accesos que ha tenido tu sistema para detectar, por ejemplo, intrusos que han entrado sin tu consentimiento. De hecho, estos logs suelen ser borrados o modificados por los asaltantes para no dejar constancia o rastro de su acceso.

¿Qué nos podemos encontrar en /var/log? Pues bien, podemos encontrar una serie de subdirectorios como:

  • /var/log/message: registro de los mensajes generales del sistema.
  • /var/log/auth.log: log de autenticación.
  • /var/log/kern.log: registro del kernel, muy interesante para detectar problemas con el núcleo.
  • /var/log/cron.log: registro de la herramienta de crond
  • /var/log/maillog: registro del servidor de emails.
  • /var/log/qmail: registro de Qmail.
  • /var/log/httpd: registro de errores y accesos del servidor web Apache
  • /var/log/lightpd: registro de errores y acceso a Lighttpd.
  • /var/log/boot.log: registro de inicio del sistema, si se producen problemas al inicio, es aquí donde tenemos que acudir.
  • /var/log/mysqld.log: registro para la base de datos MySQL.
  • /var/log/secure: log de autenticación, muy importante para la seguridad, ya que podrás ver lo referente a la autenticación del sistema.
  • /var/log/utmp o /var/log/wtmp: registro de logins.

Por ejemplo, si quieres saber si alguien se ha autenticado en el sistema, podrás ver las fechas y horas de inicios de sesión que se hicieron de forma remota por SSH desde la red, algo que muchos atacantes aprovechan si han conseguido tu nombre de usuario y contraseña para penetrar en el equipo de forma remota:


cd /var/log

grep sshd/var/log/auth.log | less

Con esto te filtra las sesiones por SSH, pero puedes usar cat o un editor de texto para ver el log completo si lo deseas…


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   g dijo
    hace 8 años

    muy interesante publicacion

    Responder a g
  2.   MarcSL36 dijo
    hace 6 años

    Me parece un gran artículo pese a que mientras lo leía a mi hermana le dio un cáncer de próstata y murió porque yo no le prestaba atención por leer esto.
    A parte de esto muy bien 10/10

    Responder a MarcSL36
  3.   Tu madre la gorda dijo
    hace 6 años

    tenemos una foto tuya en la que insultas a un profe a si que tu mismo, te vas a cagar. Vas a desear que fueras tu quien tiene cancer porque vas a morir hijo puta

    Responder a Tu madre la gorda