MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
CIBERSEGURIDAD
Sistemas de análisis de Logs.
(octubre 2022)
J. Cisneros y C. Bacuilima
jesuscisneros1971@gmail.com; cbacuilimap1@est.ups.edu.ec
RESUMEN – La seguridad de la información es uno de los
objetivos primordiales de las empresas, analizar lo que ocurre
en las redes informáticas, es una tarea fundamental para
anticiparse a posibles ciberataques a los sistemas, para ello una
buena práctica es analizar los logs, que son ficheros que nos
dan información importante de la actividad de transmisión de
datos desde los servidores, ordenadores, router, switch y
demás componentes de la infraestructura de red de la
organización. Los logs, monitorean las redes y registran toda la
información sobre intentos de acceso, desde la web,
direcciones IP, puertos (UTP o UDP), direcciones MAC, desde
Access point, etc. Para realizar este monitoreo existen
herramientas tecnológicas que permiten automatizar el análisis
de logs y que informan en tiempo real lo que está sucediendo
en nuestros sistemas, con esta información los técnicos de
seguridad implementan las acciones necesarias para
contrarrestar los ataques a los sistemas de información.
PALABRAS CLAVE: Análisis de logs, ciberataques,
logs, Elasticsearch, Kibana.
ABSTRACT: Information security is one of the main objectives
of companies, analyzing what happens in computer networks is
a fundamental task to anticipate possible cyberattacks on
systems, for this a good practice is to analyze the logs, which
are files that give us important information on data transmission
activity from servers, computers, routers, switches and other
components of the organization's network infrastructure. The
logs monitor the networks and record all the information about
access attempts, from the web, IP addresses, ports (UTP or
UDP), MAC addresses, from Access point, etc. To carry out this
monitoring, there are technological tools that allow automating
the analysis of logs and that report in real time what is
happening in our systems, with this information the security
technicians implement the necessary actions to counteract
attacks on information systems.
KEY WORDS: Analysis of logs, cyberattacks, logs.
Elasticsearch, Kibana.
I. INTRODUCCIÓN
Cada día ocurren millones de ciberataques a las
redes informáticas, ningún sistema es inmune a
estos ataques, en tal circunstancia es necesario que
Página 1 de 6
los técnicos de seguridad de la información,
implementen en sus sistemas herramientas que les
permitan contrarrestar de manera proactiva los
intentos fraudulentos a los sistemas de información,
es así que la monitorización y análisis de logs es una
política de seguridad de primera línea en la
protección de la data. El análisis de logs y la
información que aportan es primordial para una
eficaz administración y gestión de la red, ya que
esto nos aporta el conocimiento de tráfico normal de
la red, y el control de accesos, elemento clave para
detectar el tráfico anómalo. [1]. Para realizar este
control de accesos existen herramientas
tecnológicas como Elasticsearch, que permiten
monitorear en tiempo real todas las peticiones de
acceso y registralos pormenorizadamente en
archivos, que posteriormente son analizados en
búsqueda de accesos inapropiados o indebidos y
contrarrestarlos antes que se materialice el ataque.
II. CONTENIDO
A. Elasticsearch.
Es un conjunto de herramientas de software que
permiten la recolección, transporte, recopilar
métricas y visualización de logs de forma que se
puedan obtener alertas o información relevante a
partir de eventos originados por los dispositivos de
la infraestructura de red. [2] todo esto en tiempo
real.
El presente informe, en un compendio del uso que
se le puede dar a esta versátil y eficaz herramienta
para seleccionar información relevante de un
archivo de logs, con la finalidad de obtener datos
que nos permitan determinar la magnitud de los
 MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
CIBERSEGURIDAD

ataques para analizarlos y posteriormente Una vez instalado todo el Software necesario
determinar la naturaleza de la amenaza. procedemos a realizar las configuraciones básicas
para el buen funcionamiento del Elasticsearch con
Las líneas posteriores se observará las interfaces Kibana. Reiniciamos y Activamos los servicios y
de la herramienta Elastic, las cuales nos darán todo estaría listo para proceder con el análisis de
información del fichero de logs que hemos cargado los logs. (Figura 3).
previamente, el objetivo es ir observando y
determinando las amenazas o ataques registrados
dentro de un ambiente controlado de una máquina
virtual a la cual se ha instalado el sistema operativo
Ubuntu. Y posteriormente y en la medida de lo
posible detectar el ataque en la red.

B. Instalación de Elasticsearch.

Una vez instalada la máquina virtual, que para este

caso es Oracle VM Virtual Box, instalamos Ubuntu
Server Logs. (Figura 1).

Figura 3. Configuración de Kibana.

Una vez instalado todo sin ningún error

verificamos que el servicio este corriendo
correctamente. (Figura 4).

Figura 1. Instalación de Ubuntu Server Logs.

Una vez instalado Ubuntu Desktop procedemos a

ejecutar los comandos como indica el instructivo, si
en uno de los pasos tenemos el siguiente error se
debería elimina los archivos de cache y volvemos a
instalar. (Figura 2).

Figura 4. Kibana instalado.

Una vez que todo este corriendo correctamente

cargamos el archivo log enviado en la tarea.

Kibana

Kibana, es un software de frontend gratuito y

Figura 2. Eliminación de la caché.
abierto, proporciona capacidades de visualización
de datos y búsqueda de datos indexados en
Elasticsearch, permite al usuario monitorear,
gestionar y asegurar la información de log y es un
concentrador centralizado de las soluciones

Página 2 de 6
 MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
CIBERSEGURIDAD

integradas de Elastic Stack. Ademas Kibana, La siguiente figura nos muestra la importación
habilita el análisis visual de datos de un índice de completa del archivo. (Figura 7).
Elasticsearch y permite buscar datos en índices. [3]

Una vez realizada la configuración e instalación de

manera correcta de Kibana, abrimos la interface de
Elasticsearch (Figura 5). Para esto debemos
ingresar al localhost en el puerto 5601: que es
donde escucha por defecto Kibana. No hay que
olvidar de bajar el Firewall para no tener ningún
contratiempo con los accesos.

http://localhost:5601

Figura 7. Importación de archivo completa.

C. Análisis de Logs con Elasticsearch.

La tecnología de Elasticsearch nos permite

navegar por los dashboar, para visualizar de
manera gráfica la información, en este caso el
dashboard “Discover” que permite observar la
información del log por días y horas. (Figura 8).
Figura 5. Interface de Elasticsearch.

Buscamos la opción de Home en la opción Upload

a file para poder cargar el archivo de log y poder
analizarlo, importamos la información del archivo
log para analizar. (Figura 6).

Figura 8. Discover.

Por otro lado, Elasticsearch, también da la opción

de observar los valores máximos de SRC, de las
direcciones IP del archivo log. (Figura 9).

Figura 6. Importación de archivo.

Página 3 de 6
 MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
CIBERSEGURIDAD
Figura 9. Valores máximos de SRC por IP. [4]
Una de las potencialidades de Elasticsearch, es
un Buscador de direcciones IP, que geo localiza la
dirección atacante en cualquier lugar del planeta.
(Figura 10).
Figura 10. Buscador de IP atacante. [4]
Y además da la opción de identificar el dominio de
la dirección IP, para tener un conocimiento más
amplio de donde provendría el ataque. (Figura 11).
Figura 11. Dominio de la IP. [4]
Página 4 de 6
La tecnología Elasticsearch, en este caso
gestionando Kibana, avanza un poco más y puede
entregar información gráfica detallada de los
ciberataques, por fechas, horas, con muestra de
gráficos de barras, e inclusive se puede determinar
un rango de fechas para hacer una inspección
detallada de las intromisiones no autorizadas y
autorizadas. (Figura 12).
Figura 12. Buscador de IP atacante. [4]
Como podemos observar, Elasticsearch, es una
herramienta pensada para controlar el tráfico de las
redes, trafico que puede ser autorizado o no,
prácticamente no permite detectar posibles
intrusiones o ciberataques a los sistemas con la
finalidad de adoptar políticas y acciones preventivas
o disuasivas. El gestionar esta tecnología de
manera eficiente dará sin lugar a dudas un margen
mayor de protección a los sistemas de las
organizaciones.
El análisis de sitios web, en Kibana es otro punto
a favor de la herramienta, pues da la posibilidad de
observar gráficamente las IP que empleada en el
ciberataque y el protocolo DPT por donde intenta
hacer la penetración. (Figura 13).
Figura 13. Filtrado por DPT. [4]
 MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
CIBERSEGURIDAD

D. Interpretación de los datos de Análisis de

Logs.
Como vemos Elasticsearch y Kibana, es una
tecnología de grandes prestaciones a favor de la
seguridad de la información de las organizaciones,
al analizar de manera efectiva los logs, ficheros que
en el ámbito de la seguridad deben ser analizados
por los expertos en seguridad para determinar más
particularidades de los ciberataques.

Para esto tomaremos información de la

herramienta una vez que se ha filtrado el puerto 23,
13 y 195. (Figura 14).

Figura 15. Kibana georreferenciación.

Figura 14. Kibana análisis de logs
A continuación, se muestra otro registro de logs,
En la información que nos ocupa y que nos ha de Kibana muestra otra intrusión no autorizada y
otorgado Kibana, podemos analizar lo siguiente: que también se va a analizar. (Figura 16).

1. La intrusión se registra el 28 de septiembre

del 2022 a las 12:29:38, desde una MAC
5CE28C5EBA8E con la IP 210.153.209.112,
al puerto 23 (Telnet), la IP de destino es
12.422.8.99, intentando acceder a un
servidor por medio de un router Cisco
(protocolo CEF). El Firewall filtra y bloquea
(Reject) el tráfico proveniente de la IP
210.153.209.112.
Figura 16. Kibana análisis de logs.
2. En esa misma hora, hay un nuevo ataque a
los puertos 13 y 195 con destino a la IP En este log se puede analizar lo siguiente:
12.422.8.99. El Firewall filtra y bloquea
(Reject) el tráfico proveniente de la IP 1. La intrusión se registra el 28 de septiembre
210.153.209.112. del 2022, a las 03:41:13, desde una IP
58.187.253.41, que ataca a una IP
3. Ademas usando Kibana, georreferenciamos 356.121.312.172 por el puerto 445/TCP
la localización del ciberataque en Osaka (Microsoft-ds), la ataque es bloqueado por el
Japón. (Figura 15). Firewall filtra y bloquea (Reject) el tráfico
proveniente de la IP 58.187.253.4.

2. La intrusión se registra 28 de septiembre del

2022 a las 03:41:14, desde la misma una IP
58.187.253.41, pero el Firewall filtra y bloquea
(Reject) el tráfico proveniente de la IP
58.187.253.4.
Página 5 de 6
 MAESTRÍA EN SEGURIDAD DE LA INFORMACIÓN
CIBERSEGURIDAD

determinar la potencialidad del ataque y darle la

3. Con Kibana, georreferenciamos la localización
atacante en Hanoi-VietNam. (Figura 17).
atención y respuesta de seguridad que merece.
Ningún sistema informático, es 100% seguro e
inmune a los ciberataques, por eso las
organizaciones, deben propender minimizar las
brechas de seguridad, para ello pueden acceder a
instalar una tecnología de escaneo de redes como
Elasticsearch, pero además deben tener en su
equipo técnico personal especializado que permita
responder adecuadamente a los ciberataques y
proteger lo más valioso, la información.

Referencias
[1] Alonso-Alegre Díez, M. (2016). Gestión de
Logs (Master's thesis).
[2] Montaña Sierra, W. O., & Daza Tibocha, W. (2018).
Diseño e implementación de un sistema de
detección de anomalías de red mediante el análisis
avanzado de logs utilizando software libre en un
ambiente de laboratorio que permita la
optimización de recursos tecnológicos.
[3] «elastic.co» (2022). [En línea]. Disponible en:
https://www.elastic.co/es/what-is/kibana [Último
acceso: 03 octubre del 2022].
[4] «elastic.co» (2022). [En línea]. Disponible en:
https://www.elastic.co/es/ [Último acceso: 03
octubre del 2022].

Figura 17. Kibana georreferenciación

CONCLUSIONES
Cada día hay millones de intentos de
ciberataques en todo el planeta, muchos de ellos
tienen éxito y ponen en inminente riesgo la
información de las organizaciones, con un ataque
perpetrado el prestigio y la recuperación de los
datos es una etapa de crisis que nadie desea
atravesar.

Para ampliar el margen de seguridad de la

información, se han creado herramientas
tecnológicas que permiten monitorizar las redes y
registrar los logs, para que sean analizados y
determinar los ataques a los sistemas, una de esas
herramientas es Elasticsearch y Kibana, que
escanean la infraestructura de una red para arrojar
datos de forma gráfica y estadística que permiten
verificar las intrusiones para luego de análisis

Página 6 de 6