Si ha pasado algún tiempo con una distribución de Linux, es posible que haya escuchado el término archivos de registro de Linux. . Echemos un vistazo a qué tipo de archivos de registro existen en Linux, dónde encontrarlos y cómo leerlos.
¿Qué es un registro de Linux?
Un archivo de registro contiene información sobre la actividad de un servicio específico o un programa en texto sin formato, con una marca de tiempo. Por ejemplo, si está en un sistema basado en Debian, sin duda usará apt para la gestión de paquetes. Hay un registro para apt, que contiene el historial completo de todos los programas que se instalaron, eliminaron, purgaron, etc. usando el comando apt, con la hora en que sucedió.
Por lo general, cuando el sistema es fluido y estable, ni siquiera necesitamos molestarnos en mirarlos. Los archivos de registro de Linux aparecen cuando hay un problema con el sistema, y debe mirar los archivos de registro para solucionarlo. En otro caso, los archivos de registro son útiles para los administradores de sistemas. Siempre necesitan saber qué está pasando y cuándo.
Independientemente de la distribución de Linux que esté utilizando, los archivos de registro residen en el directorio /var/log/. En este artículo, analizaremos los archivos de registro más importantes que debe conocer.
Archivos de registro importantes de Linux
1. Registros del sistema
Los registros del sistema son archivados directamente por los componentes del sistema operativo. Esto incluye información de cambio de dispositivo, información de cambio de sistema y todo un amplio espectro de cosas en general.
2. Registros de eventos
Los registros de eventos contienen la información de la red y, en algunos casos, también la información de la aplicación. La información sobre bloqueos de cuentas, intentos fallidos de contraseña se incluye en los registros de eventos.
3. Registros de aplicaciones
Los registros de aplicaciones contienen registros creados y generados por aplicaciones específicas.
4. Registros del núcleo
Los registros del kernel son los registros archivados directamente por el kernel. Son extremadamente útiles para solucionar los problemas del kernel.
Localización de registros de Linux
Como mencionamos anteriormente, sin importar la distribución, los archivos de registro siempre se almacenan en el /var/log directorio en cualquier sistema Linux. Por lo tanto, para verificar los archivos de registro, primero nos movemos a ese directorio:
cd /var/log/
Y ver el contenido:
ls
Como puede ver, hay muchos archivos de registro sobre muchos programas/servicios diferentes. Solo ese usuario puede decir qué registros son esenciales para un usuario específico, pero le informaremos sobre algunos de los archivos de registro más útiles.
Registros importantes
1. Syslog o mensajes
Este registro contiene la información general de cualquier sistema, incluido el registro de datos de toda la actividad genérica, los errores y la información de la red. Es el archivo de registro de acceso para cualquier problema simple.
En los sistemas basados en RedHat, se almacena en /var/log/messages .
En el sistema basado en Debian, se almacena en /var/log/syslog .
2. auth.log o seguro
Este es el registro de autenticación. Incluye todos los registros de intentos de inicio de sesión, ya sean exitosos o fallidos. Los registros tanto el inicio de sesión de systemd (si tu distribución lo tiene) y también de cualquier gestor de visualización que tengas.
En sistemas basados en RedHat, se almacena en /var/log/secure .
En sistemas basados en Debian, se almacena en /var/log/auth.log .
3. kern.log
Este es el registro del Kernel. Probablemente no sea útil para la mayoría de los usuarios, pero es un registro crítico. Registra toda la actividad del núcleo, incluida la interacción del hardware, la inicialización del hardware en el arranque y las llamadas al sistema.
Se encuentra en /var/log/kern.log en todas las distribuciones.
4. arranque.log
El registro de inicio contiene los mensajes registrados en el momento en que se inicia el sistema. Los mensajes transmitidos por los scripts de inicio se registran aquí. Principalmente, si hay problemas con apagados o reinicios no planificados, o alguna anomalía en los procesos de arranque, se consulta el registro para ver qué está sucediendo.
5. registro de fallas
Este es uno interesante. Contiene los registros de los intentos de inicio de sesión fallidos. Es especialmente útil por motivos de seguridad, ya que iniciar sesión es el primer paso para hacer cualquier cosa en un sistema. Los ataques de fuerza bruta de inicio de sesión se pueden detectar fácilmente utilizando el intervalo de tiempo entre inicios de sesión consecutivos.
Se encuentra en /var/log/faillog en todas las distribuciones.
6. appport.log (solo en sistemas basados en Ubuntu)
A menudo se descubrió que cuando una aplicación fallaba, no había registros de la misma. No tenía un archivo de registro específico, ni se registró en ningún otro registro. Para solucionarlo, a Ubuntu se le ocurrió appport.log. Cuando un programa falla, se registra en el archivo appport.log. Encuentre más sobre esto aquí.
Se encuentra en /var/log/apport.log en sistemas basados en Ubuntu.
7. Registro del administrador de paquetes
Este es un registro útil, incluso para usuarios ocasionales. Es un registro de cualquier administrador de paquetes que use su sistema, o específicamente el usuario (puede ser múltiple). La instalación, eliminación, purga de programas se registra en el registro.
Sistemas basados en Debian
Los sistemas basados en Debian usan apt gestión de paquetes, cuyos registros se encuentran en el directorio /var/log/apt . Hay dos archivos de registro presentes allí generalmente:
historial.log :Registra el historial de gestión de paquetes realizado por apt en un formato simple.
término.log :Registra la salida exacta que se muestra en la Terminal en el momento del uso de apt comando en cualquier forma.
Los sistemas Debian también usan la administración DPKG para los archivos DEB, por lo que también tiene un registro para eso. Se puede encontrar en /var/log/dpkg.log .
Sistemas RedHat
Los sistemas RedHat utilizan el sistema de gestión de paquetes DNF de forma predeterminada. La instalación, eliminación y otras tareas relacionadas con los paquetes se pueden encontrar en el dnf Iniciar sesión. Se encuentra en /var/log/dnf.log .
8. mysqld.log o mysql.log
Los registros enumerados a partir de aquí están un poco más dirigidos a los usuarios principales. MySQL es un servicio que los usuarios utilizan a menudo. Pueden ser administradores de sistemas, mantenedores de sitios web o simplemente pueden usar MySQL para uso personal. Al ser un servicio tan valioso, debe tener un archivo de registro dedicado. Todos los mensajes de éxito, falla o depuración se registran aquí.
En los sistemas basados en RedHat, se almacena en /var/log/mysqld.log .
En sistemas basados en Debian, se almacena en /var/log/mysql.log .
httpd
Este directorio contiene los registros del servidor Apache en el sistema. Generalmente tiene dos archivos, -error_log y acceso_registro , que almacenan información que es indicativa solo del nombre del archivo.
Puede encontrarlo en /var/log/httpd/ en todas las distribuciones.
correo.log
Los servicios de correo electrónico integrados en el sistema y en la línea de comandos se utilizaron ampliamente hasta hace unos años. Claro por el nombre en sí, mail.log contiene los registros para el uso de dichos servicios de correo electrónico.
Puede encontrarlo en /var/log/mail.log .
Registros de lectura
1. CLI
Ahora finalmente podemos llegar a un punto significativo, que es leer esos registros. Hay varias formas en las que puede hacerlo y en las que necesitaría leer los registros. Por ejemplo, si solo desea ver la parte final del archivo de registro (para conocer la actividad más reciente), puede usar la cola dominio. El comando solo imprime las últimas 10 líneas de un archivo.
Ejemplo:
sudo tail /var/log/syslog
Por otro lado, si desea navegar por todo el archivo y buscar cosas, puede usar el infame menos dominio. Puede utilizar las teclas Arriba y Abajo para navegar por el archivo. Para buscar, presione la tecla '/' e ingrese el término de búsqueda exacto. El término buscado debe estar resaltado. Ejemplo:
sudo less /var/log/syslog
2. interfaz gráfica de usuario
Hay varios programas gráficos para ayudar a los usuarios a leer los archivos de registro en un sistema. Hoy, echaremos un vistazo a glogg .
glogg es un programa de visualización de registros que tiene una interfaz sencilla. El sitio web oficial lo describe como una combinación de menos y grep comandos Puede abrir glogg, y luego abra un archivo de registro usando el botón provisto en la parte superior izquierda para abrir un archivo de registro.
Sugerimos una forma alternativa, que es lanzar glogg desde la línea de comando, junto con la ubicación del archivo de registro. Esto hace que sea más fácil abrir el archivo de registro. El comando se parece a:
sudo glogg /var/log/syslog &
Interfaz de usuario
El registro se muestra en la ventana principal. Hay un cuadro de búsqueda en la parte inferior, en el que puede buscar cualquier término que esté buscando. También hay una barra de frecuencia a la derecha, que muestra con qué frecuencia aparece el término buscado en el archivo de registro.
Instalación
Se puede instalar fácilmente en sistemas basados en Debian y Ubuntu con el comando:
sudo apt install glogg
En sistemas basados en Fedora/CentOS:
sudo dnf install glogg
Puede encontrar ayuda adicional para la instalación aquí.
Información adicional
Hay más información crítica que debe saber sobre los archivos de registro.
Rotación de registros
Los archivos de registro se "rotan" regularmente. Esto significa que se crean regularmente nuevas versiones de un archivo de registro, ya que los archivos de registro tienen ciertos límites de almacenamiento o restricciones basadas en el tiempo. Si emite el comando:
ls /var/log/
Es posible que vea que varios archivos tienen el mismo nombre excepto “.1” o “.2.gz” al final. Estas son solo versiones anteriores del mismo archivo. Las condiciones para las rotaciones de registros se pueden configurar. Puede encontrar los archivos de configuración con el comando:
cd /etc/logrotate.d/
ls
Los archivos con nombres diferentes son las configuraciones de registro respectivas. Uno de esos archivos se parece a esto:
Esto simplemente se puede editar para cambiar las configuraciones de los respectivos archivos de registro.
rsyslog
rsyslog es el servicio responsable de crear los archivos de registro en primer lugar. Sus archivos de configuración están disponibles en /etc/rsyslog.conf y el directorio /etc/rsyslog.d . De forma similar a la rotación de registros, puede configurar estos archivos para que se ajusten a sus necesidades.
Conclusión
Los registros son beneficiosos y útiles en casi todos los casos relacionados con un mal funcionamiento en el hardware o software del sistema Linux. Leer archivos de registro puede ser esclarecedor y puede ayudarlo a comprender mejor su sistema. Esperamos que este artículo te haya ayudado. Si es así, no olvides compartirlo con tus amigos.