Capítulo 5: Administración del servidor Ubuntu
5.2. Registros de sucesos
Es crucial para un administrador conocer lo que ocurre en su sistema. Afortunadamente, los sistemas GNU/Linux registran detalles de su actividad en diversos archivos, anotando funcionamientos anómalos o problemas que puedan surgir.
Todos estos archivos se encuentran en el directorio /var/log.
En versiones antiguas de Linux, era el demonio syslogd (Syslog Daemon) quien se encargaba de guardar información sobre el funcionamiento del sistema. Sin embargo, en la actualidad suelen utilizarse dos herramientas que ofrecen una mayor cantidad de opciones. Son estas:
-
syslog-ng: Es una implementación open source del demonio syslogd, pero ofreciendo más prestaciones, como la aplicación de filtros, ordenar la información según el origen, enviarla a distintos lugares según su naturaleza, etc.
-
rsyslogd: Una versión mejorada de syslogd con capacidades de multi-hilo, que se centra en la seguridad y en la fiabilidad. Esta es la opción predeterminada en Ubuntu y por esto es en la que nos vamos a centrar aquí.
La mayor parte del comportamiento de rsyslogd se encuentra definido en el archivo /etc/rsyslog.conf, aunque algunas opciones también se establecen en /etc/rsyslog.d/.
Es posible modificar estos archivos para cambiar dicho comportamiento, pero se escapa de los objetivos de este texto explicar cómo hacerlo.
Los registros de sucesos que se vigilan de forma predeterminada desde rsyslogd son los siguientes:
Si un servicio genera sucesos, estos se registran en el directorio /var/log. Un ejemplo de esto es el archivo auth.log. También pueden existir subdirectorios para sucesos de subsistemas específicos, como lightdm para el gestor de sesiones LightDM.
1
Contenido del archivo auth.log en el servidor.
El formato de todos los archivos de sucesos es muy parecido, pero necesitamos conocerlo antes de poder analizar su contenido. En el caso de auth.log se estructura de la siguiente forma:
- Fecha del suceso
- Hora del suceso
- Nombre del equipo donde se ha producido
- Programa / servicio que lo ha originado
- Opcionalmente, aparecerá el PID del proceso
- Mensaje informativo que describe el suceso.
Por ejemplo, una línea del archivo auth.log podría ser como esta:
Jun 3 20:36:25 somebooks-lnxsrv sudo: usuario : TTY=pts/2 ; PWD=/home/usuario ; USER=root ; COMMAND=/usr/bin/gedit /var/log/auth.log
Aquí vemos que el día 3 de Junio, a las 20:36, en el equipo somebooks-lnxsrv el programa sudo informa de que usuario ejecuta desde la terminal, y con privilegios de root, el comando /usr/bin/gedit /var/log/auth.log. Podríamos ser algo más precisos en la explicación, pero creo que seríamos menos didácticos.
Los archivos de sucesos acaban siendo demasiado extensos. Sin embargo, podemos utilizar comandos de Linux que nos ayuden a centrarnos en la información que nos interesa.
Por ejemplo, el comando tail -f /var/log/auth.log nos permitirá obtener sólo las 10 últimas líneas del archivo auth.log. Y el comando cat /var/log/auth.log | grep "lightdm" nos permite ver sólo las líneas que contienen el texto lightdm.
En 
SomeBooks.es hemos dedicado varios artículos a resolver esta situación, según la versión del sistema operativo que estés utilizando:
Ubuntu 22.04 LTS
Ubuntu 20.04 LTS
Ubuntu 18.04 LTS
Ubuntu 14.04 LTS
Además, podemos utilizar las herramientas Cockpit o Webmin, como explicábamos en los siguientes artículos y que son válidas para diferentes versiones de Ubuntu:
Uso de Logcheck para consultar sucesos.
Como vimos antes, podemos consultar e interpretar los sucesos del sistema. Sin embargo, existe una herramienta que nos facilita la realización de esas consultas. Me refiero a Logcheck.
Logcheck revisa periódicamente los archivos de sucesos, presentando al Administrador solo las incidencias importantes. Su salida es más legible que los archivos originales, consolida la información y descarta sucesos irrelevantes.
Por todo ello, Logcheck se ha convertido en una herramienta extraordinaria para los administradores de sistemas. Y, para que compruebes lo fácil que resulta instalarla, en SomeBooks.es le hemos dedicado algunos artículos:
Consultar sucesos en la interfaz gráfica.
Si te has decantado por un servidor con interfaz gráfica, el sistema también incorpora una herramienta que nos permite consultar los sucesos del sistema de una forma bastante intuitiva.
En las versiones recientes de Ubuntu, el cambio de la interfaz Unity a GNOME ha modificado el software de análisis de sucesos. No obstante, aún es posible instalar la herramienta antigua en las versiones nuevas.
De hecho, en SomeBooks.es ya hemos dedicado diferentes artículos a estos aspectos:
Ubuntu 22.04 LTS
- Consultar los sucesos del sistema en la interfaz gráfica de Ubuntu 22.04 LTS.
-
Consultar los sucesos del sistema con gnome-system-log en Ubuntu 22.04 LTS.
Ubuntu 20.04 LTS
- Consultar los sucesos del sistema en la interfaz gráfica de Ubuntu 20.04 LTS.
-
Consultar los sucesos del sistema con gnome-system-log en Ubuntu 20.04 LTS.
Ubuntu 18.04 LTS
-
Consultar los sucesos del sistema en la interfaz gráfica de Ubuntu 18.04 LTS.
-
Consultar los sucesos del sistema con gnome-system-log en Ubuntu 18.04 LTS.
Ubuntu 14.04 LTS
Actividad 1: Registros de sucesos y monitorización del sistema
Sigue las indicaciones del capítulo para realizar las siguientes tareas:
-
Desde la terminal, averigua qué líneas del archivo auth.log contienen el texto «FAILED LOGIN» y trata de encontrarles una explicación.
-
Instala el programa Logcheck, configúralo para recibir información acerca de los usuarios que utilizan la orden su y comprueba que funciona correctamente.
-
Utiliza Webmin para averiguar cuándo han cometido los usuarios del sistema errores al autenticarse. Localiza visualmente aquellas situaciones en las que existan varios errores consecutivos.
