Un archivo de registro, como bien puede haber adivinado, proporciona una línea de tiempo de eventos para el sistema operativo, las aplicaciones y los servicios de Linux.
Los archivos se almacenan en texto plano para facilitar su lectura. Esta guía proporciona una visión general de dónde encontrar los archivos de registro, destaca algunos de los registros clave y explica cómo leerlos.
Índice de contenidos
Dónde puede encontrar archivos de registro de Linux
Los archivos de registro de Linux se almacenan normalmente en la carpeta /var/logs.
La carpeta contendrá un gran número de archivos y podrá obtener información para cada aplicación.
Por ejemplo, cuando el comando ls se ejecuta en una carpeta /var/logs de ejemplo, aquí hay algunos de los registros disponibles.
- kern.log
- auth.log
- bootstrap.log
- alternatives.log
- samba
- tazas
- lightdm
Los últimos tres en esa lista son carpetas pero tienen archivos de registro dentro de las carpetas.
Como los archivos de registro están en formato de texto plano, puede leerlos escribiendo el siguiente comando:
nano
El comando anterior abre el archivo de registro en un editor llamado nano. Si el archivo de registro es pequeño en tamaño, entonces está bien abrir el archivo de registro en un editor, pero si el archivo de registro es grande, entonces probablemente sólo esté interesado en leer el final del registro.
El comando tail le permite leer las últimas líneas de un archivo de la siguiente manera:
tail
Puede especificar cuántas líneas mostrar con el parámetro -n como se indica a continuación:
tail -n
Por supuesto, si desea ver el comienzo del archivo, puede usar el comando head .
Registros del sistema de claves
Los siguientes archivos de registro son los principales que hay que buscar en Linux.
- Registro de autorización
- Registro del demonio
- Registro de depuración
- Registro del núcleo
- Registro del sistema
El log de autorización (auth.log) rastrea el uso de los sistemas de autorización que controlan el acceso de los usuarios.
El registro del demonio (daemon.log) rastrea los servicios que se ejecutan en segundo plano y que realizan tareas importantes. Los demonios tienden a no tener salida gráfica.
El registro de depuración proporciona una salida de depuración para las aplicaciones.
El registro del núcleo proporciona detalles sobre el núcleo de Linux.
El registro del sistema contiene la mayor cantidad de información sobre su sistema y si su aplicación no tiene su propio registro, las entradas probablemente estarán en este archivo de registro.
Análisis del contenido de un archivo de registro
La imagen de arriba muestra el contenido de los últimos 50 archivos dentro del archivo de registro de mi sistema (syslog).
Cada línea del log contiene la siguiente información:
- Fecha
- Nombre de host
- Aplicación/Servicio
- Mensaje
Por ejemplo, una línea en el archivo syslog es la siguiente:
jan 20 12:28:56 gary-virtualbox systemd[1]: start cups scheduler
Esto le indica que el servicio de programación de copas se ha iniciado a las 12.28 del 20 de enero.
Rotación de registros
Los archivos de registro rotan periódicamente para que no sean demasiado grandes.
La utilidad de rotación de registros es responsable de la rotación de los archivos de registro. Puede saber cuándo se ha girado un registro porque irá seguido de un número como auth.log.1, auth.log.2.
Es posible cambiar la frecuencia de rotación de los registros editando el archivo /etc/logrotate.conf.
A continuación se muestra una muestra de mi archivo logrotate.conf:
#rotate log files
weekly
#keep 4 weeks worth of log files
rotate
create new log files after rotating
create
.
Como puede ver, estos archivos de registro rotan cada semana, y hay cuatro semanas de archivos de registro que se mantienen en cualquier momento.
Cuando un archivo de registro rota, se crea uno nuevo en su lugar.
Cada aplicación puede tener su propia política de rotación. Esto es obviamente útil porque el archivo syslog va a crecer más rápidamente que el archivo de registro de cups.
Las políticas de rotación se mantienen en /etc/logrotate.d. Cada aplicación que requiera su propia política de rotación tendrá un archivo de configuración en esta carpeta.
Por ejemplo, la herramienta apt tiene un archivo en la carpeta logrotate.d de la siguiente manera:
/var/log/apt/history.log {
rotar 12
mensualmente
comprimir
missingok
notifempty
}>
Básicamente, este log le dice lo siguiente. El registro mantendrá 12 semanas de archivos de registro y rota cada mes (uno por mes). El archivo de registro se comprimirá. Si no se escribe ningún mensaje en un log (es decir, está vacío), esto es aceptable. El registro no girará si está vacío.
Para modificar la política de un archivo, edite el archivo con la configuración que necesite y, a continuación, ejecute el siguiente comando:
logrotate -f
