Archivos de registro (logs)

Los Archivos de registro (o archivos de log) son archivos que contienen mensajes sobre el
sistema, incluyendo el kernel, los servicios y las aplicaciones que se ejecutan en dicho sistema.
Existen diferentes tipos de archivos de log dependiendo de la informacin. Por ejemplo, existe
un archivo de log del sistema, un archivo de log para los mensajes de seguridad y un archivo de
log para las tareas cron.
Los archivos de registro pueden ser muy tiles cuando se trate de resolver un problema con el
sistema tal como cuando se trata de cargar un controlador del kernel o cuando se est buscando
por intentos no autorizados de conexin al sistema. Este captulo discute donde encontrar estos
archivos de registro, cmo visualizarlos y qu buscar en ellos.
Algunos archivos de log estn controlados por un demonio llamado syslogd. Encontrar una lista
de mensajes de log mantenidos por syslogd en el archivo de configuracin
/etc/syslog.conf

Localizar archivos de registro

La mayora de los archivos de registro estn localizados en el directorio /var/log. Algunas
aplicaciones como por ejemplo httpd y samba poseen un directorio en /var/log para sus
archivos de registro (log).
Observe los mltiples archivos en el directorio de archivos log seguidos de nmeros. Estos se
crean cuando los archivos de registro circulan. Los archivos de registro circulan de manera que
los tamaos de los archivos no sean demasiado amplios. El paquete logrotate contiene una
tarea de cron que hace circular automticamente los archivos de log de acuerdo al archivo de
configuracin /etc/logrotate.conf y los archivos de configuracin en el
directorio /etc/logrotate.d. Por defecto, se configura para circular cada semana y
mantener la validez de los archivos previos de log durante cuatro semanas.

Cmo funciona el sistema de logs?

El sistema de logs arranca con el script /etc/init.d/sysklogd, y tiene dos demonios:
Syslogd: gestiona los logs del sistema. Distribuye los mensajes a archivos, tuberas, destinos
remotos, terminales o usuarios, usando las indicaciones especificadas en su archivo de
configuracin /etc./syslog.conf, donde se indica qu se loguea y a dnde se envan
estos logs.

Klogd: Se encarga de los logs del kernel. Lo normal es que klogd enve sus mensajes
a syslogd pero no siempre es as, sobre todo en los eventos de alta prioridad, que salen
directamente por pantalla.

Los logs se guardan en archivos ubicados en el directorio /var/log, aunque muchos

programas manejan sus propios logs y los guardan en /var/log/<programa>. Adems, es
posible especificar mltiples destinos para un mismo mensaje. Algunos de los log ms
importantes son:
/var/log/messages:

aqu

encontraremos

los

logs

que

llegan

con

prioridad info (informacin), notice (notificacin) o warn (aviso).

/var/log/kern.log: aqu se almacenan los

logs del kernel, generados

por klogd.
/var/log/auth.log: en este log se registran los login en el sistema, las veces que
hacemos su, etc. Los intentos fallidos se registran en lneas con informacin del
tipo invalid password o authentication failure.
/var/log/dmesg: en este archivo se almacena la informacin que genera el kernel
durante el arranque del sistema. Podemos ver su contenido con el comando dmesg:
Los archivos de log crecen y con el tiempo se pueden volver muy extensos, pero no tenemos
que preocuparnos porque en /etc/cron.daily (tareas que se ejecutan cada da) est el
script/etc/cron.daily/logrotate,

(cuyo

archivo

de

configuracin

es /etc/logrotate.conf), que se encarga de comprimirlos y aplicar una rotacin

de archivos, aadindoles la extensin .1.gz, .2.gz, etc., volviendo a crear uno
vaco (cuanto mayor sea el nmero ms antiguo ser el log).