Revision de logs LINUX

De KIUBIX
Ir a la navegación Ir a la búsqueda

Los sistemas linux cuentan con una carpeta especifica para registrar los sucesos del sistema, esta carpeta es:

  /var/log

Los archivos de registro comunes son (pueden variar según la distro):


/var/log/message: registro de mensajes generales del sistema

¿Qué se registra aquí ?:

  • Este archivo de registro contiene registros genéricos de actividad del sistema.
  • Se utiliza principalmente para almacenar mensajes informativos y no críticos del sistema.
  • En los sistemas basados ​​en Debian, el directorio /var/log/syslog tiene el mismo propósito.

¿Cómo puedo usar estos registros ?:

  • Aquí puede rastrear errores de arranque que no sean del núcleo, errores de servicio relacionados con la aplicación y los mensajes que se registran durante el inicio del sistema.
  • Este es el primer archivo de registro que los administradores de Linux deben verificar si algo sale mal.
  • Por ejemplo, tiene algunos problemas con la tarjeta de sonido. Para verificar si algo salió mal durante el proceso de inicio del sistema, puede echar un vistazo a los mensajes almacenados en este archivo de registro.


/var/log/auth.log: log de autenticación

¿Qué se registra aquí?

  • Todos los eventos relacionados con la autenticación en Debian y el servidor Ubuntu se registran aquí.
  • Si está buscando algo relacionado con el mecanismo de autorización del usuario, puede encontrarlo en este archivo de registro.

¿Cómo puedo usar estos registros ?:

  • Investigue intentos fallidos de inicio de sesión
  • Investigue los ataques de fuerza bruta y otras vulnerabilidades relacionadas con el mecanismo de autorización del usuario.


/var/log/kern.log: registro del kernel

¿Qué se registra aquí?

  • Este es un archivo de registro muy importante ya que contiene información registrada por el núcleo.

¿Cómo puedo usar estos registros ?:

  • Perfecto para solucionar errores y advertencias relacionados con el kernel.
  • Los registros de kernel pueden ser útiles para solucionar problemas de un kernel personalizado.
  • También puede ser útil para depurar problemas de hardware y conectividad.


/var/log/cron.log: registro de crond

¿Qué se registra aquí?

  • Este archivo de registro registra información sobre trabajos cron.

¿Cómo puedo usar estos registros?

  • Cada vez que se ejecuta un trabajo cron, este archivo de registro registra toda la información relevante, incluida la ejecución exitosa y los mensajes de error en caso de fallas.
  • Si tiene problemas con su cron programado, debe revisar este archivo de registro.


/var/log/maillog: registro del servidor de mails

¿Qué se registra aquí?

  • Todos los registros relacionados con el servidor de correo se almacenan aquí.

¿Cómo puedo usar estos registros?

  • Encuentre información sobre postfix, smtpd, MailScanner, SpamAssassain o cualquier otro servicio relacionado con el correo electrónico que se ejecute en el servidor de correo.
  • Rastree todos los correos electrónicos que se enviaron o recibieron durante un período en particular
  • Investigue problemas de entrega de correo fallidos.
  • Obtenga información sobre posibles intentos de envío de spam bloqueados por el servidor de correo.
  • Rastree el origen de un correo electrónico entrante examinando este archivo de registro.

/var/log/httpd/: registro de errores y accesos a Apache

¿Qué se registra aquí?

  • Este directorio contiene los registros registrados por el servidor Apache.
  • La información de registro del servidor Apache se almacena en dos archivos de registro diferentes: error_log y access_log.

¿Cómo puedo usar estos registros ?:

  • Error_log contiene mensajes relacionados con errores de httpd, como problemas de memoria y otros errores relacionados con el sistema.
  • Este es el lugar donde el servidor Apache escribe eventos y registros de errores encontrados al procesar solicitudes httpd.
  • Si algo sale mal con el servidor web Apache, consulte este registro para obtener información de diagnóstico.
  • Además del archivo de registro de errores, Apache también mantiene una lista separada de access_log.
  • Todas las solicitudes de acceso recibidas a través de HTTP se almacenan en el archivo access_log.
  • Le ayuda a realizar un seguimiento de cada página servida y cada archivo cargado por Apache.
  • Registra la dirección IP y la ID de usuario de todos los clientes que realizan solicitudes de conexión al servidor.
  • Almacena información sobre el estado de las solicitudes de acceso, si una respuesta se envió correctamente o si la solicitud resultó en un error.


/var/log/boot.log : registro de inicio del sistema

Qué se registra aquí?

  • El script de inicialización del sistema, /etc/init.d/bootmisc.sh, envía todos los mensajes de arranque a este archivo de registro
  • Este es el repositorio de información y mensajes relacionados con el arranque registrados durante el proceso de inicio del sistema.

¿Cómo puedo usar estos registros ?:

  • Debe analizar este archivo de registro para investigar problemas relacionados con el apagado inadecuado, reinicios no planificados o fallas de arranque.
  • También puede ser útil para determinar la duración del tiempo de inactividad del sistema causado por un apagado inesperado.


/var/log/mysqld.log: registro de la base de datos MySQL

¿Qué se registra aquí? Como su nombre indica, este es el archivo de registro de MySQL. Todos los mensajes de depuración, falla y éxito relacionados con el demonio [mysqld] y [mysqld_safe] se registran en este archivo. RedHat, CentOS y Fedora almacenan registros de MySQL en /var/log/mysqld.log, mientras que Debian y Ubuntu mantienen el registro en el directorio /var/log/mysql.log.

¿Cómo puedo usar este registro?

  • Use este registro para identificar problemas al iniciar, ejecutar o detener mysqld.
  • Obtenga información sobre las conexiones del cliente al directorio de datos MySQL
  • También puede configurar el parámetro 'long_query_time' para registrar información sobre bloqueos de consultas y consultas de ejecución lenta.


/var/log/secure: log de autenticación

¿Qué se registra aquí? Los sistemas basados ​​en RedHat y CentOS usan este archivo de registro en lugar de /var/log/auth.log.

  • Se utiliza principalmente para rastrear el uso de sistemas de autorización.
  • Almacena todos los mensajes relacionados con la seguridad, incluidos los errores de autenticación.
  • También rastrea inicios de sesión de sudo, inicios de sesión SSH y otros errores registrados por los servicios de seguridad del sistema daemon.

¿Cómo puedo usar estos registros ?:

  • Todos los eventos de autenticación de usuario se registran aquí.
  • Este archivo de registro puede proporcionar información detallada sobre intentos de inicio de sesión no autorizados o fallidos
  • Puede ser muy útil para detectar posibles intentos de piratería.
  • También almacena información sobre inicios de sesión exitosos y rastrea las actividades de usuarios válidos.




By: JCMS