Alumno: Federico Lanzani Materia: Arquitectura Avanzada Bitácora del Sistema Alumno: Federico Lanzani Materia: Arquitectura Avanzada

¿Que es un log? Un log es un registro de eventos durante un periodo de tiempo. Generalmente es un archivo de texto plano, que tiene un evento por línea (es muy importante la fecha).

¿Para que sirve un log? La importancia de un log reside en la información que contiene. Un buen log da información sobre quien, que, cuando, donde y por que ocurre un evento para un dispositivo o aplicación. El log puede no ser usado nunca, si no surge la necesidad de revisarlo.

¿Para que sirve un log? Los logs también sirven en ciertos sistemas como evidencia legal y para auditar el sistema. Los logs NO avisan, simplemente registran los eventos. Por eso es IMPORTANTISIMO su revisión periódica.

¿Qué es un log del sistema? El log del sistema es entonces, un archivo que contiene eventos logueados por componentes del sistema operativo. Contiene información sobre cambios en dispositivos, drivers, cambios en el sistema, eventos, operaciones y mas.

Log del sistema en Windows En Windows XP, se puede ver el log del sistema con el Visor de Eventos. Cada evento tiene, fecha, hora ,usuario, equipo, número de evento (tipo), origen, tipo (error, advertencia, información, auditoría de aciertos y auditoria de errores). La auditoria de aciertos describe la correcta finalización de un evento de seguridad auditado. La auditoria de errores describe la incorrecta finalización de un evento de seguridad auditado.

Log del sistema en Windows

Log del sistema en Debian y Redhat El log mas importante es probablemente el que se encuentra en var/log/messages Registre una variedad de eventos entre los que se incluye mensajes de error, inicios del sistema y cierres del sistema. Es un archivo en texto plano. Tiene un comando “dmsg” que permite ver los mensajes de log relacionados al inicio mas reciente del sistema.

Log del sistema en Debian y Redhat Jul 17 22:04:25 router dnsprobe[276]: dns query failed Jul 17 22:04:29 router last message repeated 2 times Jul 17 22:04:29 router dnsprobe[276]: Primary DNS server Is Down... Switching To Secondary DNS server Jul 17 22:05:08 router dnsprobe[276]: Switching Back To Primary DNS server Jul 17 22:26:11 debian -- MARK – Jul 17 22:46:11 debian -- MARK – Jul 17 22:47:36 router -- MARK – Jul 17 22:47:36 router dnsprobe[276]: dns query failed Jul 17 22:47:38 debian kernel: rtc: lost some interrupts at 1024Hz. Jun 17 22:47:39 debian kernel: IN=eth0 OUT= MAC=00:0f:ea:91:04:07:00:08:5c:00:00:01:08:00 SRC=61.4.218.24 DST=192.168.1.100 LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=21599 DF PROTO=TCP SPT=59297 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Como hacer buen uso de las bitácoras Como grandes cantidades de información se guardan en estas bitácoras, es importante para una correcta administración del sistema, contar con un sistema automático de monitoreo, que avise ante ciertos eventos. Los sistemas Debian tienen el programa LogCheck. Los sistemas RedHat tienen el programa LogWatch.

Bitácora del sistema en UNIX UNIX comprende que es tan importante tener un log del sistema como tener programas y herramientas eficientes para gestionarlo y revisarlo y programa. Syslogd, es uno de los primeros demonios que se lanza al arrancar el sistema, y lo que hace es esperar mensajes para procesarlos acorde a lo especificado en etc/syslog.conf

¿Qué es el demonio syslogd? El demonio syslogd es sumamente importante ya que es quien implementa el estandar syslog.

¿Qué es el Syslog (estandar)? Es un estándar que procura centralizar le manejo de los registros de eventos que generan los diversos programas. Facilita a los desarrolladores de aplicaciones la generación y el manejo de mensajes a registrar. Facilita a los administradores del sistema el manejo de forma centralizada de los mensajes provenientes de diferentes aplicaciones.

¿Qué es el Syslog (estandar)? Clasifica los mensajes por origen e importancia, para luego enviarlos a diferentes destinos como archivos, a la terminal de un operador, o eventualmente a un comando que lo reenvíe a direcciones de correo electrónico El syslog tiene además capacidad para manejar mensajes originados en diferentes computadores en una red

Como configurar el syslogd En el archivo de config, se especifica hacia dónde se deben enrutar los diferentes mensajes. Cada línea tiene el siguiente formato: selector <Tab> action La acción especificada se aplicará a todos los mensajes que verifiquen las condiciones que se especifican con el selector. Pueden ser las siguientes: Guardar en un archivo Reenviar hacia el syslogd de otra maquina Reenviar a una terminal de usuario Usar el texto del mensaje como entrada a un comando.

Como configurar el syslogd El selector se especifica como un par facility.level. Cuando un programa envía un mensaje al syslog, lo hace especificando un valor de "facility" y un valor de "level“. El campo facility procura identificar al programa que originó el mensaje (son valores prefijados en cada sistema, de un set finito. Ej: kernel, cron, ftp, etc), mensajes de seguridad, de autenticacion, usuarios y una serie de valores que pueden ser usados con cierta libertad para diferentes aplicaciones (local0 a local7, user) El campo level busca clasificar el nivel de importancia o severidad del mismo. Los valores posibles de level son en general 8 y van en orden de severidad creciente desde DEBUG hasta EMERG.

Ejemplos de syslog.conf mail.debug /var/log/mail.debug.log Todos los mensajes debug (y mayores), en el sistema de mail se escribiran en el path mostrado. *.crit root,adm Todos los mensajes criticos se enviaran al usuario root y adm si estan logueados.

Otras herramientas que provee UNIX Otras herramientas son: Klogd es un daemon que intercepta y loguea los mensajes del kernel. Nsyslogd que añade soporte SSL en la transmisión de bitacoras a otra computadora (más de esto mas adelante) Modular syslog, que firma digitalmente los registros de la bitácora para que cualquier alteración en ellos sea detectable.

¿Cómo manejar los logs de sistema? Es útil implementar una rotación de logs, que permite limitar el volumen de datos que se tienen disponibles para examinarlos fácilmente (nadie quiere archivos de texto plano en tamaño de 500MB).

¿Cómo manejar los logs de sistema? Se pueden manejar distintas maneras la administración de logs en cuanto a la ubicación de sus logs: Tener un único servidor central para la administración de logs. Tener varios servidores distribuidos, que se repartan los logs por su clasificación de los mismos. Tener varios servidores distribuidos, que tengan replicas.

¿Cómo manejar los logs de sistema? En cuanto a la seguridad, es muy importante restringir el acceso y modificación a estos archivos. Generalmente, el mismo sistema operativo restringe las modificaciones a los archivos de log del sistema (salvo para el usuario root)

Conclusiones La administración de logs es crítica, así que es de vital importancia darle la importancia que se merece. Tomar una estrategia respecto a los logs en cuanto a su distribución (centralizada o distribuida). No dejar que los logs lleguen a tamaños desorbitantes. Los logs sirven como registros de auditoria. Por esta razón, hay que velar por su exactitud en cuanto a tiempo y evento registrado.

Conclusiones Más importante que loguear, es saber que acción tomar ante un evento. Si no se monitorea el log, es un desperdicio de recursos. Los logs deben ser exactos, autenticables y accesibles por los usuarios adecuados. Es importante proteger los logs de accesos no autorizados que puedan poner en riesgo su integridad. Es importante saber usar syslog como herramienta de administración de logs. Resulta util el uso de herramientas de análisis y monitorizacion de logs (mencionadas en esta presentacion: LogCheck y LogWatch)

FIN