Está en la página 1de 13

Archivos log

LINUX
Los ficheros de logs en linux son algo tan comn e imprescindibles
como los propios comandos en un entorno profesional. Cualquier
profesional del sector ve cada da ficheros contenidos en /var/log o en
la ruta que se configure por defecto para tal fin , hay que saber
interpretarlos, hacer pruebas y conocer los que nos pueden dar la
informacin que necesitamos en un momento dado, quizs en
ocasiones hablamos de una nica lnea entre miles. Es un punto
importante en el LPI por ejemplo el SSH usa el /var/log/secure
Los ficheros de logs en linux son algo tan comn e
imprescindibles como los propios comandos en un entorno
profesional. Cualquier profesional del sector ve cada da ficheros
contenidos en /var/log o en la ruta que se configure por defecto
para tal fin , hay que saber interpretarlos, hacer pruebas y
conocer los que nos pueden dar la informacin que necesitamos
en un momento dado, quizs en ocasiones hablamos de una
nica lnea entre miles. Es un punto importante en el LPI por
ejemplo el SSH usa el /var/log/secure y nos ser de
Los principales ficheros de logs que vienen en prcticamente todas las
distribuciones de Linux por defecto:
/var/log/messages Contiene mensajes del sistema en general,
incluyendo los del inicio del mismo. Incluye trazas de mail, cron, kern,
auth, y muchsimos ms. Es uno de los ms importantes y que ms
informacin tienen.

/var/log/dmesg - Cuando el sistema arranca escribe aqu cada error que se
produzca por nfimo que sea sobre el hardware que detecta el kernel,
Podemos usar tambin el comando dmesg para sacarlos en pantalla y leer
este fichero
/var/log/auth.log - Autorizaciones que hace el sistema, logins de usuarios
y de software.
/var/log/boot.log - Contiene informacin cuando el sistema arranca
/var/log/daemon.log - informacin de varios demonios en segundo plano
que funcionan en el sistema.
/var/log/rpmpks - Contiene informacin cuando un paquete RPM es
instalado o removido.
/var/log/kern.log - Informacin que proporciona el kernel. Ayuda para
arreglar problemas relacionados.
/var/log/maillog - Contiene informacin del servidor de correo.

/var/log/Xorg.x.log - Mensajes de las X
/var/log/btmp - contiene informacin de los intentos fallidos de logins, se usa
con el comando last
/var/log/cups - todos los mensajes relacionados con el sistema de impresin.
/var/log/anaconda.log - Todos los mensajes relacionados con la instalacin del
sistema.
/var/log/yum.log - Informacin de los paquetes instalados con yum
/var/log/cron - toda la informacin relacionada con los demonios cron (anacron)
que inician un trabajo cron tanto cuando lo inicia como cualquier error
/var/log/secure - Informacin relacionada con autenticacin y privilegios includo
del SSH.
/var/log/wtmp - Lo utiliza el comando who para indicarnos quien est
conectado.
/var/log/faillog Contiene intentos fallidos de login, se usa con el comando
faillog para ver los resultados.

Administracin de syslog
Syslog se usa en los sistemas GNU/Linux para administrar los logs de
algunos programas y servicios. En este documento se trata sobre la
configuracin del daemon syslogd, para que enve las diversas salidas
generadas por los programas que escriben a syslog, a los ficheros que
nos interesen y en el formato que elijamos.
Configuracin de syslog
syslogd es un daemon configurado via /etc/syslog.conf. Se pueden enviar mensajes
a syslog desde programas (llamada a la funcin C syslog(), definida en <syslog.h>) o
desde scripts (utilizando la instruccin logger). Syslog define la prioridad como
facilidad.nivel, donde facilidad puede ser:
auth, authpriv (mensajes de seguredad y autorizaciones)
kern (mensajes del ncleo)
cron (demonios peridicos: cron, anacron, at...)
daemon (otros demonios)
user (mensajes de aplicaciones de usuario)
local0 .. local7 (reservados para uso local)
syslog (mensajes internos de syslog)
ftp, lpr, mail, news, uucp (otros subsistemas)

y nivel puede ser
emerg (sistema inestable)
alert (se requiere accin inmediata)
crit (error crtico, como fallo de hardware)
err (condicin de error, como fallos en programas de aplicacin)
warning (condicin de aviso)
notice (mensaje significativo)
info (mensaje informativo)
debug (salida de depuracin)
las aplicaciones de usuario deberan utilizar como mximo en nivel err.

Lecturas tiles de logs
La instruccin shutdown guarda sus logs via syslog, en la facilidad user,
por tanto en syslog_user.log se pueden encontrar los momentos en los
que se ha reiniciado o apagado el sistema.
logins: via syslog, en la facilidad auth, se guarda informacin de todos
los logins correctos e incorrectos, incluso lo logins remotos (como SSH).
Se puede completar esta informacin con la salida de la instruccin
lastlog, o para saber quien est conectado en este momento, la
instruccin who. Cuando se abre y cierra una sesin remota
correctamente, se informa con los mensajes

estos mensajes son de nivel info. Por tanto, no se mostrarn en
syslog_authnotices.log. Permiten llevar un seguimiento de quien ha
entrado y salido del sistema, el tiempo que ha estado, etc. Funciona
incluso con CVS y rsync (que al final, lo que hacen es abrir sesiones
SSH). Se puede configurar syslog para que envie todos los niveles notice
y superiores de la facilidad auth a un fichero especial
(syslog_authnotices.log), este fichero contendr todos los intentos
invlidos de entrar al sistema.
POP3: dovecot realiza sus logs va syslog, en la facilidad mail. El archivo
syslog_mail.log registra todos los accesos al servidor dovecot.
Los componentes ms importantes de syslog son:

syslogd: el daemon que recibe los mensajes y los almacena de acuerdo a la
configuracin almacenada en el archivo /etc/syslog.conf

openlog(), syslog() y closelog(): rutinas de la biblioteca C estndar para
comunicarse con syslog desde un programa.

logger: comando de usuario para agregar un mensaje a un logLos
componentes ms importantes de syslog son:

Ejercicios e Investigacin
Determine en su sistema donde estn los diferentes archivos de registro de eventos
Averige quin y desde qu terminal trabajo en el sistema el da anterior
Identifique que poltica de rotacin de archivos de tiene configurada su mquina (identifique el script peridico
que se encarga de eso, si utiliza algn comando especial para eso (newsyslog p. ej.) lea el man de ese comando.
Modifique /etc/syslog.conf para hacer que determinados mensajes se escriban tambin en la consola de su
usuario. Prubelo usando el comando logger. Retorne luego a la configuracin inicial!!!