1. Presentacin de LOGS Sistemas Operativos IIIShark EnterprisePablo Carrara - Marcelo Ali - Matas Leal 3ICISBO

2. Qu es un Log? Un log es un registro de actividad de unsistema, que generalmente se guarda en un fichero de texto, al que se le van aadiendo lneas a medida que se realizan acciones sobre el sistema. La palabra log es un trmino anglosajn, equivalente a la palabra bitcora en espaol, que en la marina es un libro en el cual se registraban los acontecimientos. Matas Leal Pablo Carrara Marcelo Ali 3. Estos archivos son usados tanto por el sistemaoperativo como por las aplicaciones o demonios (procesos) para registrar datos o informacin sobre un evento en particular en un plazo determinado. En un sistema Linux podemos encontrar estos archivos de registro en la carpeta /var/log En esta carpeta encontraremos casi todos los archivos de registros de un sistema, pero cabe destacar que muchas aplicaciones crean estos archivos en sus propias carpetas fuera de /var/log.Pablo Carrara-Matas Leal Ali-Marcelo 4. Ahora bien, En que nos sirve los logs paramonitorear nuestro sistema? pues sencillo, los principales archivos logs que estn en la carpeta /var/log van almacenando informacin de casi todos los eventos que ocurren en tu PC prcticamente desde que la enciendes y en ellos podremos ver por ejemplo que pasa internamente en Linux cuando conectas una Memoria USB, un Modem USB o cuando estas conectado a internet puedes ver los intentos de entrada bloqueados por tu firewall. Registra datos o informacin sobre quin, qu, cundo, dnde y por qu (who, what, when, where y why) En otras circunstancias podremos ser capaces de observar algn mensaje de error que se Pablo Carrara producir cuando Matas Leal conectando algn Marcelo pueda estas Ali hardware nuevo o si tienes un servicio web 5. Veremos algunos archivos Logs y sus usos: /var/log/messagesEste es el archivo principal de registros y almacena la mayora de los mensajes de inters. /var/log/auth.log Muestra mensajes sobre autenticacin de usuarios y permisos. /var/log/daemon.log Muestra mensajes sobre demonios (permisos) o servicios corriendo en el sistema.Pablo Carrara-Matas Leal Ali-Marcelo 6. /log/dmesg Muestra mensajes del ncleo Linux. /var/log/dpkg.log Muestra un registro de los paquetes binarios instalado. /var/log/kern.log Muestra mensajes del Kernel /var/log/boot.log Muestra mensajes referentes al arranque del sistema. /var/log/debug Muestra mensajes de depuracin. /var/log/lpr.log Muestra mensajes sobre la impresoraPablo Carrara-Matas Leal Ali-Marcelo 7. /var/log/mail.err/var/log/mail.info /var/log/mail.warn /var/log/mail.log Archivos varios que muestran mensajes sobre error, informacin, alertas y registro (respectivamente) para los correos (requiere tener un servicio de correos funcionando). /var/log/mysql.* Archivos varios de registro para el servicio mysql (requiere tener un servicio mysql). /var/log/user.log Muestra informacin acerca de los procesos usados por el usuario Pablo Carrara-Matas Leal Ali-Marcelo 8. /var/log/Xorg.0.logMuestra registros de Xorg (servidor) /var/log/apache2/* Archivos de registro varios que muestra informacin sobre el servicio web Apache (requiere tener apache instalado). /var/log/lighttpd/* Archivos de registro varios que muestran informacin sobre el servicio web Lighttpd (requiere tener instalado Lighttpd) Obviamente la lista podra seguir pero esos sonlos ms importantes. Pablo Carrara-Matas Leal Ali-Marcelo 9. Un ejemplo fcil para visualizar algn registrodesde la terminal sera usando comandos como tail, cat, less o grep. un ejemplo podra ser tecleando en la terminal: tail -f /var/log/auth.log El comando tail escribe a la salida estndar laltima parte de un archivo, y el f escribe la ltima parte si el archivo ha crecido, mostrar el cambio, esto sirve si dejamos la terminal abierta veremos quin se logueo y quin se deslogueo en el lapso en la que la terminal estaba encendida. Pablo Carrara Matas Leal Marcelo Ali 10. Rotacin de los archivos de log Los ficheros de log pueden crecer indefinidamente, yes necesario rotarlos cuando superen un cierto tamao, la rotacin puede ser manual o automtica, mediante el comando logrotate Comando logrotate Permite rotar los archivos de log, comprimindolos y envindolos por mail si se desea Normalmente se ejecuta diariamente de forma automtica, mediante la ejecucin del script /etc/cron.daily/logrotate La configuracin se hace mediante el fichero /etc/logrotate.conf Indica opciones globales, que se aplican a todos losficheros de log, y acciones especficas para ficheros Pablo determinados Carrara Matas Leal AliMarcelo 11. Configuracin del Comando Logrotate: 1.Instalar el programa logrotate: apt-get install logrotate2.Crear o comprobar que tenemos las carpetas y ficheros necesarios:mkdir -p /var/lib/logrotate/ touch /var/lib/logrotate/status mkdir -p /etc/logrotate.d/ 3. Crear el fichero logrotate.conf: vi /etc/logrotate.confPablo Carrara-Matas Leal Ali-Marcelo 12. Copiar el siguiente contenido el ficherologrotate.conf que antes hemos creado:# ejecutar man logrotate para ms informacin weekly rotate 4 create include /etc/logrotate.d /var/log/wtmp { missingok monthly create 0664 root utmp rotate 1 } Pablo Carrara-Matas Leal Ali-Marcelo 13. 4.Crear el fichero de rotacin (en mi caso para los logs de acceso y errores): vi /etc/logrotate.d/rotar_logs Copiar el siguiente contenido en dicho fichero: /www/*/logs/access_log { daily rotate 90 copytruncate compress notifempty missingok } /www/*/logs/error_log { daily rotate 90 copytruncate compress notifempty missingok }Pablo Carrara-Matas Leal Ali-Marcelo 14. La ruta depender del servidor donde nosencontramos y el * lo que indica es que en todas las carpetas de dicha ruta las tenga en cuenta. Por ejemplo: /www/pepito/logs/access_log /www/juan/logs/access_log /www/manuel/logs/access_log /www/pepito/logs/error_log /www/juan/logs/error_log /www/manuel/logs/error_logPablo Carrara-Matas Leal Ali-Marcelo 15. 5.Comprobar manualmente que funciona:/usr/sbin/logrotate -d /etc/logrotate.conf /usr/sbin/logrotate -f /etc/logrotate.conf Si todo va bien y no se muestra ningn error es que todo ha ido bien. Ahora nos toca programar para que el servidor haga logrotate automticamente, con ayuda de nuestro amigo el crontab: Copiar el siguiente contenido: #Logrotate a las 1 AM todos los das 0 01 * * * root /usr/sbin/logrotate /etc/logrotate.conf > /dev/null 2>&1Finalmente ejecutaremos en el terminal: /etc/init.d/crond restart Para que los nuevos cambios se apliquen. Pablo Carrara Matas Leal AliMarcelo 16. Mensajes Kernel y Sistema Existen dos demonios que se encargan demanejar los mensajes del kernel y del sistema, estos son: syslogd: Guarda los logs del sistema y de muchos servicios. Guarda el nombre del programa, el tipo de servicio, la prioridad y el mensaje del propio programa. klogd: Guarda los logs propios del kernel para su posterior anlisis en caso de error, por ejemplo. Pablo Carrara Matas Leal Ambos escriben sus mensajes en AliMarcelo 17. Syslog.conf El syslogd nos permite personalizar los loggingsdel sistema mediante el fichero de configuracin /etc/syslog.conf. Aqu se define todo sobre lo que se quiere hacer log, para esto se definen normas con dos campos: Selector = A qu hacer log. Action = Dnde hacer log.Pablo Carrara-Matas Leal Ali-Marcelo 18. Campo Selector: Consta de dos partes: type (facility) y priority. Type: Priority: auth authpriv cron daemon kern lpr mail news uucp alert crit debug emerg err info notice warningPablo Carrara-Matas Leal Ali-Marcelo 19. Campo Action: Especifica a donde deben ir los mensajes, normalmente es un fichero, aunque otras opciones muy interesantes son: Consola Mquina remota Usuarios concretos Todos los usuariosPablo Carrara-Matas Leal Ali-Marcelo 20. Otras herramientas LogWatch Analiza los logs durante un periodo de tiempo especificado por el usuario y genera informes personalizables y de fcil lectura para el administrador. Secure Syslog Herramienta de logging de sistema criptogrficamente segura, que permite la auditora remota de los logs. As un si un intruso entra con privilegios de root sigue siendo posible auditar el Pablo Carrara Matas Leal Marcelo sistema. Ali 21. Bibliografa empleada: http://www.desarrolloweb.com/faq/408.php http://es.wikipedia.org/wiki/Log_%28registro%29 http://blog.jam.net.ve/2010/10/26/monitoreando-nuestro-sistema-vigilando-los-archivos-deregistro-logs/ http://iie.fing.edu.uy/ense/asign/admunix/logs.htm http://es.wikipedia.org/wiki/Cuaderno_de_bit%C3 %A1cora http://es.wikipedia.org/wiki/X.Org_Server http://sopa.dis.ulpgc.es/iiaso/portal_aso/leclinux/seguridad/logs_auditoria/l ogs_auditoria.pdf Pablo Carrara Matas Leal Marcelo http://helektron.com/tutorial-configurar-logrotateAli