4 buenas herramientas de gestión y supervisión de registros de código abierto para Linux


Cuando se ejecuta un sistema operativo como Linux, ocurren muchos eventos y procesos que se ejecutan en segundo plano para permitir un uso eficiente y confiable de los recursos del sistema. Estos eventos pueden ocurrir en el software del sistema, por ejemplo, en el proceso init o systemd o en aplicaciones de usuario como Apache, MySQL, FTP y muchas más.

Para comprender el estado del sistema y las diferentes aplicaciones y cómo funcionan, los administradores del sistema deben seguir revisando los archivos de registro a diario en los entornos de producción.

Puede imaginar tener que revisar archivos de registro de varias áreas del sistema y aplicaciones, ahí es donde los sistemas de registro resultan útiles. Ayudan a monitorear, revisar, analizar e incluso generar informes a partir de diferentes archivos de registro configurados por un administrador del sistema.

  • Cómo supervisar los usos del sistema, las interrupciones y la solución de problemas de los sistemas Linux
  • Cómo administrar los registros del servidor (configurar y rotar) en Linux
  • Cómo monitorear los registros del servidor Linux en tiempo real con la herramienta Log.io

En este artículo, veremos los cuatro sistemas de gestión de registro de código abierto más utilizados en Linux en la actualidad, el protocolo de registro estándar en la mayoría, si no en todas, las distribuciones actuales es Syslog.

1. Graylog 2

herramienta de administración de registros centralizada que se utiliza ampliamente para recopilar y revisar registros en varios entornos, incluidos los entornos de prueba y producción. Es fácil de configurar y muy recomendable para pequeñas empresas.

Graylog le ayuda a recopilar fácilmente datos de varios dispositivos, incluidos conmutadores de red, enrutadores y puntos de acceso inalámbricos. Se integra con el motor de análisis Elasticsearch y aprovecha MongoDB para almacenar datos y los registros recopilados ofrecen información detallada y son útiles para solucionar fallas y errores del sistema.

Con Graylog, obtiene una WebUI ordenada y en reposo con paneles de control geniales que lo ayudan a rastrear datos sin problemas. Además, obtiene un conjunto de herramientas y funcionalidades ingeniosas que ayudan en la auditoría de cumplimiento, la búsqueda de amenazas y mucho más. Puede habilitar las notificaciones de tal manera que se active una alerta cuando se cumpla una determinada condición o se produzca un problema.

En general, Graylog hace un buen trabajo al recopilar grandes cantidades de datos y simplifica la búsqueda y el análisis de datos. La última versión es Graylog 4.0 y ofrece nuevas características como el modo oscuro, integración con slack y ElasticSearch 7 y mucho más.

2. Logcheck

Logcheck es otra herramienta de monitoreo de registros de código abierto que se ejecuta como un trabajo cron. Examina miles de archivos de registro para detectar violaciones o eventos del sistema que se activan. Logcheck luego envía un resumen detallado de las alertas a una dirección de correo electrónico configurada para alertar a los equipos de operaciones de un problema, como una infracción no autorizada o una falla del sistema.

En este sistema de registro se desarrollan tres niveles diferentes de filtrado de archivos de registro que incluyen:

  • Paranoid: está diseñado para sistemas de alta seguridad que ejecutan muy pocos servicios como sea posible.
  • Servidor: este es el nivel de filtrado predeterminado para logcheck y sus reglas están definidas para muchos demonios del sistema diferentes. Las reglas definidas en el nivel paranoico también se incluyen en este nivel.
  • Estación de trabajo: es para sistemas protegidos y ayuda a filtrar la mayoría de los mensajes. También incluye reglas definidas en niveles paranoicos y de servidor.

Logcheck también es capaz de clasificar los mensajes que se informarán en tres capas posibles que incluyen eventos de seguridad, eventos del sistema y alertas de ataque del sistema. Un administrador del sistema puede elegir el nivel de detalles al que se informan los eventos del sistema según el nivel de filtrado, aunque esto no afecta los eventos de seguridad ni las alertas de ataque del sistema.

Logcheck proporciona las siguientes funciones:

  • Plantillas de informes predefinidas.
  • Un mecanismo para filtrar registros mediante expresiones regulares.
  • Notificaciones instantáneas por correo electrónico.
  • Alertas de seguridad instantáneas.

3. Logwatch

Logwatch es una aplicación de análisis y recopilación de registros de código abierto y altamente personalizable. Analiza los registros del sistema y de las aplicaciones y genera un informe sobre cómo se ejecutan las aplicaciones. El informe se entrega en la línea de comandos o mediante una dirección de correo electrónico dedicada.

Puede personalizar fácilmente Logwatch según sus preferencias modificando los parámetros en la ruta/etc/logwatch/conf. También proporciona algo adicional en la forma de scripts PERL preescritos para facilitar el análisis de registros.

Logwatch viene con un enfoque escalonado y hay 3 ubicaciones principales donde se definen los detalles de configuración:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Todas las configuraciones predeterminadas están definidas en el archivo /usr/share/logwatch/default.conf/logwatch.conf. La práctica recomendada es dejar este archivo intacto y, en su lugar, crear su propio archivo de configuración en la ruta/etc/logwatch/conf/copiando el archivo de configuración original y luego definir su configuración personalizada.

La última versión de Logwatch es la versión 7.5.5 y proporciona soporte para consultar el diario systemd directamente usando journalctl. Si no puede pagar una herramienta de administración de registros patentada, Logwatch le dará la tranquilidad de saber que todos los eventos se registrarán y se enviarán notificaciones en caso de que algo salga mal.

4. Logstash

Logstash es una canalización de procesamiento de datos del lado del servidor de código abierto que acepta datos de una multitud de fuentes, incluidos archivos locales o sistemas distribuidos como S3. Luego procesa los registros y los canaliza a plataformas como Elasticsearch, donde se analizan y archivan más adelante. Es una herramienta bastante poderosa, ya que puede ingerir volúmenes de registros de múltiples aplicaciones y luego enviarlos a diferentes bases de datos o motores al mismo tiempo.

Logstash estructura los datos no estructurados y realiza búsquedas de geolocalización, anonimiza los datos personales y también escala en varios nodos. Hay una lista extensa de fuentes de datos que puede hacer que Logstash escuche la canalización, incluidos SNMP, latidos, Syslog, Kafka, títeres, registro de eventos de Windows, etc.

Logstash se basa en "beats", que son remitentes de datos ligeros que envían datos a Logstash para analizarlos y estructurarlos, etc. Los datos se envían luego a otros destinos como Google Cloud, MongoDB y Elasticsearch para su indexación. Logstash es un componente clave de Elastic Stack que permite a los usuarios recopilar datos en cualquier forma, analizarlos y visualizarlos en paneles interactivos.

Además, Logstash disfruta de un amplio apoyo de la comunidad y de actualizaciones periódicas.

Resumen

Eso es todo por ahora y recuerde que estos no son todos los sistemas de administración de registros disponibles que puede usar en Linux. Seguiremos revisando y actualizando la lista en artículos futuros. Espero que este artículo le resulte útil y que pueda informarnos sobre otras herramientas o sistemas de registro importantes dejando un comentario.