Centralización de logs

Los logs son una buena fuente de información, sobre todo en respuesta a incidentes, ya que en estos se encuentran los eventos más significativos de sistemas, switches, routers o estaciones de trabajo.

Su análisis puede ser tardado y confuso, puesto que la mayoría son archivos de texto inmensos y, generalmente, están distribuidos. La solución es centralizarlos y utilizar una interfaz de visualización amigable.

Ambiente centralizado

Existen varias herramientas de centralización. Todas se componen de un agente o recolector y un servidor.

El agente se encarga de recolectar y enviar logs al servidor. Este, generalmente, se debe instalar en el equipo que se va a monitorear, pero existen aparatos, como algunos switches y routers que son capaces de enviar sus logs en formato syslog a un servidor. En este caso fungen como agentes.

El servidor almacena y procesa los logs recibidos.

Ventajas de la centralización

La centralización permite:

  • Acceso rápido a todos los eventos generados dentro de el.
  • Interfaces de análisis que facilitan la búsqueda de eventos.
  • Implementación de redundancia

Herramientas para centralización

Syslog

Es la implementación mas sencilla de realizar. La mayoría de sistemas pueden enviar sus logs a un servidor syslog nativamente. Por defecto los servidores syslog no tienen interfaz gráfica, pero la solución es muy facil: instalar una interfaz gráfica. Hay muchas y algunas son gratuitas como php-syslog o Log Analyzer.
ELK

ELK es un conjunto de herramientas formado por: Elasticsearch, Log stash y Kibana. Es una implementación muy poderos, además es gratuita. Su implementación es sencilla, y puede aceptar un gran número de formatos de logs, entre ellos syslog. Admás se pueden crear plugins para formatos propios o no soportados, lo cuál le da una gran escalabilidad.

Para mas información consultar https://www.elastic.co/webinars/introduction-elk-stack.

Splunk

Splunk es una herramienta de pago, muy poderosa, capaz de manejar e indexar un gran volumen de información. Se pueden realizar búsquedas de información complejas muy fácilmente.