¿Qué necesito?

  • Un servidor Linux dedicado o VPS
  • CentOS

¿Qué son los archivos de registro?

Los archivos de registro son el conjunto de datos más importante que almacena Linux para que los administradores rastreen y monitoreen eventos importantes en el servidor web, el kernel, los servicios y las aplicaciones que se ejecutan en ellos. Linux proporciona un depósito central de archivos de registro, que se encuentra en el directorio / var / log. Todos los archivos de registro generados en un entorno Linux generalmente se pueden dividir en cuatro categorías diferentes:

  • Registros de aplicaciones,
  • Registros de eventos,
  • Protocolos de servicio,
  • Registros del sistema.
  1. Supervisar archivos de registro
  1. Monitorear y analizar archivos de registro puede ser una tarea desafiante. El gran volumen de registros a veces puede hacer que sea frustrante profundizar y encontrar el archivo correcto que contenga la información que necesita.
  1. anuncios
cat /var/log/messages

Cómo revisar los registros del servidor para detectar problemas de seguridad y software

  1. Este archivo de registro contiene registros de actividad general del sistema. Se utiliza principalmente para almacenar mensajes del sistema informativos y no críticos.
  2. Puede utilizar estos registros para realizar un seguimiento de los errores de inicio que no son del kernel, los errores de servicio relacionados con la aplicación y los mensajes que se registran al inicio del sistema. Es el primer archivo de registro que un administrador de Linux debe verificar si ocurre un error.
  1. Auth.log
cat /var/log/auth.log

Cómo revisar los registros del servidor para detectar problemas de seguridad y software

  1. Todos los eventos relacionados con la autenticación en los servidores Debian y Ubuntu se registran aquí. Si busca información sobre el mecanismo de autorización del usuario, puede encontrarla aquí.
  2. Si sospecha que su servidor se ha visto comprometido, puede encontrar indicadores aquí. Si observa un archivo javascript sospechoso donde no debería estar, véalo aquí.
  1. Secure.log
  1. Los sistemas basados ​​en RedHat y CentOS utilizan este archivo de registro en lugar de /var/log/auth.log. Se utiliza principalmente para rastrear el uso de sistemas de autorización. Guarda todos los mensajes relacionados con la seguridad, incluidos los errores de autenticación y varios otros. También es responsable de rastrear inicios de sesión sudo, inicios de sesión SSH y otros errores registrados por demonios o servicios de sistemas de seguridad.
  2. Se registran todos los eventos de autenticación de usuarios. Este archivo proporciona información detallada sobre los intentos de inicio de sesión fallidos y no autorizados y puede ser útil para identificar posibles intentos de piratería. También almacena información útil sobre inicios de sesión exitosos y rastrea las actividades de usuarios válidos.
  1. Boot.log
cat /var/log/boot.log
  1. El script de inicialización del sistema, /etc/init.d/bootmisc.sh, envía todos los mensajes de inicio a este archivo de registro. Este es el repositorio para iniciar información relacionada y mensajes que se registran durante el proceso de inicio del sistema. Debe analizar este archivo de registro para investigar problemas relacionados con apagados incorrectos, reinicios no planificados o fallas de inicio. También puede determinar la duración del tiempo de inactividad del sistema causado por un apagado inesperado.
  1. Dmesg
cat /var/log/dmesg
  1. Este archivo contiene mensajes de búfer de anillo del kernel. La información sobre los dispositivos de hardware y sus controladores se registra aquí. Debido a que el kernel detecta dispositivos físicos de hardware asociados con el servidor web durante el inicio, recopila el estado del dispositivo, los errores de hardware y otros mensajes generales.
  2. Este archivo de registro es principalmente útil para usuarios de servidores dedicados. Si cierto hardware no funciona correctamente o no se reconoce, puede confiar en este archivo de registro para solucionar el problema.
  1. Core.log
cat /var/log/kern.log
  1. Este es un archivo de registro muy importante ya que contiene información registrada por el kernel. Perfecto para solucionar errores y advertencias relacionados con el kernel.
  2. Los registros del kernel pueden ser útiles para solucionar problemas de un kernel personalizado y extremadamente útiles para depurar problemas de hardware y conectividad.
  1. Registro de fallos
cat /var/log/faillog
  1. Este archivo contiene información sobre intentos fallidos de inicio de sesión. Es mejor averiguar cualquier intento de violación de seguridad que involucre piratería de nombre de usuario / contraseña y ataques de fuerza bruta.

Próximos pasos

Recomendaría mirar la multitud de otros protocolos que también están disponibles. Por ejemplo, siempre es una buena idea comprobar lo siguiente:

  • / var / log / cron
cat /var/log/cron
  • /var/log/yum.log
cat /var/log/yum.log
  • / var / log / maillog o /var/log/mail.log
cat /var/log/mail.log
  • / var / log / httpd /
cat /var/log/httpd/
  • /var/log/mysqld.log o /var/log/mysql.log
cat /var/log/mysqld.log

Conclusión

Si bien monitorear y analizar todos los archivos de registro generados por el sistema puede ser una tarea abrumadora, puede usar una herramienta de monitoreo de registros centralizada para facilitar el proceso. Personalmente, en lugar de entregar la inspección y el control a elementos externos, recomiendo familiarizarse con estos archivos de registro y monitorearlos manualmente.