Академический Документы
Профессиональный Документы
Культура Документы
es
Captulo9:Administracindel
Buscar...
servidorUbuntu14.04LTS
24 diciembre, 2014 by P. Ruiz in Sistemas Operativos en Red (2 ed.)
9.2.Registrosdesucesos
Paraunadministradoresmuyimportantesaberquocurreensusistema.
Afortunadamente,lossistemasLinuxengeneral,guardandetallesdel
funcionamientodelsistemaendiferentesarchivos.Suobjetivoesanotar
cualquierfuncionamientoanmaloocualquierproblemaquepuedasurgirenel
sistema.
Todosestosarchivosseencuentraneneldirectorio/var/log.
EnversionesantiguasdeLinux,era
eldemoniosyslogd(SyslogDaemon)
quienseencargabadeguardar
informacinsobreelfuncionamiento Lamayorpartedel
delsistema.Sinembargo,enla comportamientodersyslogd
actualidadsuelenutilizarsedos seencuentradefinidoenel
herramientasqueofrecenunamayor archivo/etc/rsyslog.conf,
cantidaddeopciones.Sonestas: aunquealgunasopciones
tambinseestablecenen
syslogng:Esuna /etc/rsyslog.d/.
implementacinopensource Esposiblemodificarestos
deldemoniosyslogd,pero archivosparacambiardicho
comportamiento,perose
ofreciendomsprestaciones,
escapadelosobjetivosdeeste
comolaaplicacindefiltros, textoexplicarcmohacerlo.
ordenarlainformacinsegnel
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 1/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
origen,enviarlaadistintos
lugares,segnsunaturaleza,etc.
rsyslogd:Unaversinmejoradadesyslogdconcapacidadesdemulti
hilo,quesecentraenlaseguridadyenlafiabilidad.Estaeslaopcin
predeterminadaenUbuntu14.04LTSyporestoesenlaquenos
vamosacentraraqu.
Losregistrosdesucesosquesevigilandeformapredeterminadadesde
rsyslogdsonlossiguientes:
Siunservicioestproduciendosucesos,stosestarnrecogidosbajoel
directorio/var/log.Porejemplo,aquencontraremosunarchivollamado
auth.log.Tambinpodemosencontrarsubdirectoriosquepuedencontenerlos
archivosdesucesosdealgnsubsistemaparticularcomo,porejemplo,el
directoriolightdm,quecontienevariosarchivosdesucesosrelativosalgestor
desesionesLightDM.
1 Contenidodelarchivoauth.log
enelservidor.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 2/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
Elformatodetodoslosarchivosdesucesosesmuyparecido,pero
necesitamosconocerloantesdepoderanalizarsucontenido.Enelcaso
deauth.logseestructuradelasiguienteforma:
Fechadelsuceso
Horadelsuceso
Nombredelequipodondesehaproducido
Programa/servicioquelohaoriginado
Opcionalmente,aparecerelPIDdelproceso
Mensajeinformativoquedescribeelsuceso.
Porejemplo,unalneadelarchivoauth.logpodrasercomoesta:
Jun320:36:25somebookslnxsrvsudo:usuario:
TTY=pts/2;PWD=/home/usuario;USER=root;
COMMAND=/usr/bin/gedit/var/log/auth.log
Aquvemosqueelda3deJunio,alas20:36,enelequiposomebookslnxsrv
elprogramasudoinformadequeusuarioejecutadesdelaterminal,ycon
privilegiosderoot,elcomando/usr/bin/gedit/var/log/auth.log.Podramos
seralgomsprecisosenlaexplicacin,perocreoqueestaramossiendo
menosdidcticos.
Losarchivosdesucesosacabansiendodemasiadoextensos.
Sinembargo,podemosutilizarcomandosdeLinuxquenos
ayudenacentrarnosenlainformacinquenosinteresa.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 3/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
Porejemplo,elcomandotailf/var/log/auth.lognos
permitirobtenerslolas10ltimaslneasdelarchivo
auth.log.yelcomandocat/var/log/auth.log|grep
"lightdm"nospermiteverslolaslneasquecontienenel
textolightdm.
UsodeLogcheckparaconsultarsucesos.
Yahemosvistomsarribacmopodemosconsultareinterpretarlossucesos
anotadosporelsistema.Sinembargo,existeunaherramientaquenosfacilita
larealizacindeesasconsultas.MerefieroaLogcheck.
Logcheckrevisalosarchivosdesucesosdelsistema,cadaciertotiempo,
ofreciendoalAdministradorsloaquellasincidenciasqueresulten
importantes.Elresultadoesmsfcildeleerquelosarchivosoriginales,
consolidaelcontenidodelosdiferentesarchivosenunasolasalidaydescarta
lossucesosquecarezcandeinters
Lossucesosquenosonignoradossecataloganentrescategorasde
seguridad,segnsutrascendencia:
ActiveSystemAttacks(Ataquealsistemaactivo)
SecurityViolations(Violacindeseguridad)
UnusualActivity(Actividadinusual)
InstalarLogcheck
Afortunadamente,LogcheckseencuentraenlosrepositoriosdeUbuntu14.04
LTS,porloquesuinstalacinestansencillacomoejecutarelsiguiente
comando:
sudoaptgetinstalllogcheck
1 Abrimosunaventanadeterminaly
ejecutamoselcomando.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 4/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
LaformapredeterminadaenlaqueLogcheckenvasuinformacinal
administradoresatravsdecorreoelectrnico.Porestemotivo,Logcheck
tienecomodependenciaalpaquetePostFix.
Sinoestconfiguradoconantelacin,durantelainstalacindeLogcheckse
realizaunaconfiguracinbsicadePostfix.
2 Laprimerapantalladelasistentenos
indicaquedeberemosescogerentre
distintasopcionesdeconfiguracin.
Cuandohayamosledola
informacin,pulsamoslatecla
Intro.
ParaelfuncionamientodeLogchecknotienemuchaimportancialaopcinque
elijamos.AqunosinclinaremosporSitiodeInternet.yaqueenviaremosel
correoutilizandoelprotocoloSMTPaunadireccindecorreoexternaa
nuestraredlocal.
3 Nosdesplazamosconlasteclasde
cursory,cuandoestemossobrela
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 5/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
opcinelegida,volvemosapulsarla
teclaIntro.
Porltimo,elegiremoselnombredeldominioqueseutilizarparacualificarlas
direccionesdecorreoquenotengannombre.Deformapredeterminada,el
asistentenosofreceelhostnamedelamquina,peroaqulohemoscambiado
porelnombreantiguoparacomprobarqueLogcheckscualificasuscorreos
conelnombredehostactual.
4 Cuandoacabemos,pulsamosla
teclaIntro.
5 Pocodespus,habrterminadola
instalacin.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 6/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
Yaestamoscasilistosparacomprobarsielsistemafuncionacorrectamente.
Sinembargo,antenemosqueeditarelarchivodeconfiguracindeLogcheck
paraindicarledosdetalles.Setratadelarchivo
/etc/logcheck/logcheck.confyestossonlosvaloresaincluir:
Ladireccindecorreo
electrnicodondedeben
enviarselosinformes,quese Conalgunasdireccionesde
encuentraenlavariable correoqueincluyensignos
(como,porejemplo,
SENDMAILTO.
somebooks_es@gmail.com),
Logcheckpuedenofuncionar
Quedichosinformesdeben correctamente.
incluirsecomoarchivos
adjuntos.EstosehaceasignandoalavariableMAILASATTACHelvalor
1.
Debemosrecordarusareleditorconprivilegiosdesuperusuario(parano
resultarmontonos,enestecasohemosutilizadogEdit).
6 Saldremosdeleditorasegurndonos
deguardarloscambios.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 7/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
Cuandohayamoshechoestoscambios,estamoslistosparaprobarel
funcionamientodeLogcheck.Sinembargo,antesdebemossaberquedurante
suinstalacin,sehacreadounusuario,tambinllamadologcheck,conelfin
deevitarqueelcomandotengaqueejecutarsecomoroot.Deecho,si
intentasejecutarloconprivilegiosderoot,obtendrsunerror.
Paraejecutarelcomandologcheckconelusuariologcheck,necesitamos
recurriralargumentoudelcomandosudo.Suformatogeneraleseste
sudouusuariocomando
Yadaptndoloanuestrasnecesidadesactuales,nosquedaas:
sudoulogchecklogcheck
7 Laejecucindelcomandoemplear
untiempoqueestarenfuncindel
nmerodesucesosquedeba
procesar.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 8/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
Elprocesodeanlisistardaruntiempoquedependerdelnmerode
eventosquedebanrevisarse.Finalmente,obtendremosdenuevoelprompt
delsistema.Elmomentoenelqueserecibaelemaildependerdela
configuracinpredeterminadadeLogcheck.Enmisistema,loseventosse
envanenelminuto2decadahoraaunque,comoveremosdespus,esmuy
sencillocambiarestacaracterstica.
8 Cuandoconsultemoselcorreo,
veremosqueelasuntoincluyeel
nombredelservidor,lafechayla
horaenlaqueseharealizadola
consulta.
Elinformeseincluyecomounarchivoadjuntoenformatodetextoplano.
AjustarelfuncionamientodeLogcheck
Existenvariascuestionesquepodemosadecuaranuestrasnecesidadesenel
funcionamientodeLogcheck:
Losarchivosdesucesosamonitorizar:Elarchivo
/etc/logcheck/logcheck.logfilescontieneelnombrede
losarchivosdelosqueLogcheckobtienelossucesosque
analiza.Deformapredeterminadaprocedendeauth.logy
syslog,peropodemosaadiraquellosqueconsideremos
oportunos.Porejemplo,podramosaadirelarchivo
/var/log/boot.log,queesdondeseanotanlasincidenciasde
iniciodelsistema.
1 Saldremosdeleditorpulsandolas
teclasctrl+xyasegurndonos
deguardarloscambios.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 9/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
opodramosincluirficheros
generadosporcualquieraplicacin,
como
/var/log/apache2/error.logo Aprenderemosmssobrela
programacindetareasen
otroapartadodeestemismo
captulo.
/var/log/apache2/localhost/error.log.
LafrecuenciaconlaqueseejecutaLogcheck:Elarchivo
/etc/cron.d/logcheckrepresentaunatareaparacrone
indicaconqufrecuenciasegeneranlosinformes.
2 Modificandoestearchivo
ajustaremoslafrecuenciadelos
informessegnnuestranecesidad.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 10/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
Lasreglasdefiltrado:Logcheckprocesalossucesossegnuna
seriedereglasredactadascomoexpresionesregularesque
representanpatronesqueaparecenenlosarchivosdesucesos
cuandoseproduceundeterminadosuceso.Porejemplo,una
reglapodraseras:
login.*:.*LOGINFAILURE.*FROM.*root
Conellabuscamoslneasenlasqueelsubsistemaloginindiquecualquier
falloaltratardeiniciarsesincomoroot.
Seescapadelosobjetivosdeeste
documentoentrarendetallesobrela
construccinyeliminacindereglas
paraLogcheck.Bastacondecirque Puedesencontrarinformacin
sealmacenanenarchivosdetexto, detalladasobreelfiltradode
dentrodediferentescarpetas,segn sucesosen
sutipo: /usr/share/doc/logcheck
database/README.logcheck
Lasqueidentifican database.gz.
unsucesocomo
unintentode
intrusinseguardaneneldirectorio
/etc/logcheck/cracking.d.
Lasqueexcluyenunsucesocomounintentodeintrusin
seguardaneneldirectorio
/etc/logcheck/cracking.ignore.d.
Lasqueidentificanunsucesocomounaalertade
seguridadseguardaneneldirectorio
/etc/logcheck/violations.d.
Lasqueexcluyenunsucesocomounaalertadeseguridad
seguardaneneldirectorio
/etc/logcheck/violations.ignore.d.
Lasdemssonconsideradassucesosdelsistema.
Consultarsucesosenlainterfazgrfica.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 11/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
Ubuntu14.04LTSincorporaunaherramientagrficaquenospermite
consultarlossucesosdelsistemadeunaformabastanteintuitiva.Para
ejecutarla,desplegamoselDashycomenzamosaescribirpartedesunombre.
RecuerdaquepuedesdesplegarelDashhaciendoclicenelbotnsuperiordel
LauncheropulsandolateclaSper(laquesueletenereliconode
Windows).
1 Cuandoaparezcalaherramienta,
hacemosclicsobreella.
Alpoco,veremosunaventanadivididaverticalmenteendosreasdiferentes.
Ladelaizquierdamuestralosarchivosdesucesosquepodemosanalizarcon
elvisor.Aladerechasemuestranlossucesosrelativosalarchivoque
tengamosseleccionadoenelladoizquierdo.
Lasentradasmsmodernassemuestranalfinaldelalista.
2 Haciendoclicsobreunarchivo
diferente,cambianlossucesos
mostrados.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 12/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
Aadirmsarchivosdesucesos
Cuandoqueramosconsultaralgnarchivodesucesosquenoseencuentreen
lalistadelaizquierda,slotendremosqueaadirlo.Paraconseguirlo,
hacemosclicsobreelbotnquehayenlapartesuperiorderechadela
ventana( ).
1 Enelmenqueaparece,elegimosla
opcinAbrir
Aparecerunaventanaquenospermitelocalizarelarchivoqueestamos
buscando.
2 Cuandoloencontremos,hacemos
dobleclicsobrel.
AlvolveralaventanaSucesosdelsistemacomprobaremosqueelnuevo
archivoyaseencuentraenlalistadelaizquierda.
Aunqueacabemosaadiendomuchosarchivos,sermuyfcillocalizarlos,
porquesemuestranordenadosalfabticamente.Lonicoquedebesrecordar
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 13/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
esqueLinuxdiferenciaentremaysculasyminsculas,yquelasprimeras
tienenunvalorASCIImenor,porloqueirnantes.
3 Alseleccionarelnuevoarchivoala
izquierda,semuestransussucesos
aladerecha.
Filtrarelcontenidodelosarchivosdesucesos
Comohabrscomprobado,lacantidaddeinformacinqueseacumulaenlos
archivosdesucesosesconsiderabley,enocasiones,resultacomplicado
localizarunsucesodeterminado.
Paraayudarnos,Sucesosdelsistemaincorporaunaherramientadefiltrado.
1 Podemosabrirladesdelaopcin
Filtros,eligiendoGestionarfiltros.
AparecerlaventanaFiltros,dondepodremoscrearnuevosfiltros(botn
Aadir),modificarsuscaractersticas(botnPropiedades)oeliminarlos
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 14/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
(botnQuitar).Lgicamente,laprimeravezslotendremosdisponibleel
primero.
2 HacemosclicsobreelbotnAadir.
SemostrarlaventanaAadirfiltronuevodondedebemosdefinirsus
caractersticas:
Unnombre,queseadescriptivo,paraidentificarloconfacilidadcuando
hayamoscreadomuchosfiltros.
Unaexpresinregular,quedefinaloqueestamosbuscando.Ennuestro
caso,parasimplificar,escribiremosslounapalabra.As,Sucesosdel
sistemabuscaraquellossucesosquecontenganlapalabraelegida.
Indicarsiqueremosresaltaruocultarlossucesosquecumplanla
condicin.Ennuestrocasolosresaltaremos.
Encasodequeestemosresaltandosucesos,podremosfijartambinun
colordeprimerplanoyuncolordefondo.Alpulsarelbotndecolor,se
muestraunpanelcondiferentescoloresdondebastarconelegiruno
deellos.
3 Finalmente,cuandohayamos
concluido,haremosclicsobreel
botnAplicar.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 15/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
DevueltaenlaventanaSucesosdelsistema,ahoraencontraremosunnuevo
elementoenlaopcinFiltrosconelnombrequelehayamospuestoalfiltroen
elpasoanterior.
4 Alelegirlo,sedestacarn,conlos
coloresindicados,aquellossucesos
quecumplanlacondicindelfiltro.
5 Tambindisponemosdelaopcin
Slomostrarcoincidencias.
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 16/17
16/2/2017 Captulo9:AdministracindelservidorUbuntu14.04LTSPgina2de8SomeBooks.es
6 Silaelegimos,seocultarn
inmediatamentetodoslossucesos
quenocumplanconlascondiciones
impuestasenelfiltro.
Comprtelo:
Relacionado
Pages: 1 2 3 4 5 6 7 8
estreno
Copyright2017SomeBooks.es
http://somebooks.es/capitulo9administraciondelservidorubuntu1404lts/2/ 17/17