7.6.5.- Revisar el contenido de los ficheros de registro

La finalidad del fichero de registro es servir como medio para identificar problemas o documentar la actividad normal. Cuando un servidor no responde como se esperaba, cuando un ordenador impide un acceso que debería aceptar (o acepta accesos que debería impedir) o cuando la interfaz de red de un sistema no se levanta (por citar algunos problemas), la revisión de sus ficheros de registro debería ser una parte de su proceso de resolución de problemas. Los ficheros de registro también nos ayudan a acceder a los ficheros de registro, muchos de los cuales implican el uso de herramientas ya conocidas:

  • Recorrer los ficheros de registro página a página.- Podemos usar el programa de paginación como less (descrito anteriormente en la sección 1.8.3.- recorrer los ficheros página a página con less), aunque un editor de texto también nos valdría para este fin.
  • Buscar por palabras clave.- Podemos utilizar grep (descrito anteriormente en la sección 1.10.2.- Uso de grep) para extraer de estos ficheros aquellas líneas que contengan palabras claves. Esto puede resultar especialmente útil cuando no sabe que registro contiene una determinada entrada. Por ejemplo, escribiendo grep eth0 /var/log/* localizará todas las líneas de todos los ficheros del directorio /var/log que contengan la cadena eth0.
  • Examinar el comienzo o final de un fichero.- Podemos usar los comandos head o tail (que describimos en la sección 1.8.1.- Visualizar el inicio de los ficheros con head y 1.8.2.- Visualizar el final de los ficheros con tail) para examinar las primeras o las últimas entradas de un fichero de registro. El comando tail es muy útil ya que nos muestra las últimas entradas justo antes de realizar alguna acción que, presumiblemente, genere algunas entradas de diagnóstico en el fichero de registro.
  • Monitorizar los ficheros de registro.- Además de comprobar las últimas líneas de un fichero de registro, tail puede monitorizar un fichero en uso, mostrando en pantalla las líneas conforme se vayan añadiendo éstas al fichero. Podemos hacer esto con la opción -f de tail, como en tail -f /var/log/messages.
  • Usar herramientas avanzadas de análisis de registro.- Existen varios paquetes creados expresamente para analizar los ficheros de registro. Por ejemplo, tenemos Logcheck, que forma parte del paquete Sentry Tools. Lamentablemente requiere mucha personalización para el sistema a utilizar, por lo que resulta más fácil de implementar cuando forma parte de la distribución, ya que estará configurado para su formato de ficheros de registro.

tux_maestro_derLas entradas del fichero de registro pueden llamar la atención tanto por su ausencia como por su contenido. Los intrusos intentan, con frecuencia, cubrir su rastro modificando los ficheros de registro para eliminar entradas que revelan su acceso no autorizado. No obstante, a veces, no son demasiado delicados en este aspecto y borran todas las entradas del registro del momento en cuestión. Si observamos saltos en los ficheros de registro que no sean normales, como el espacio de una hora sin entradas en un sistema que, normalmente, registra un par de decenas de entradas en dicho periodo, es aconsejable que sigamos investigando.