Los logs son una buena fuente de información, sobre todo en respuesta a incidentes, ya que en estos se encuentran los eventos más significativos de sistemas, switches, routers o estaciones de trabajo.
Su análisis puede ser tardado y confuso, puesto que la mayoría son archivos de texto inmensos y, generalmente, están distribuidos. La solución es centralizarlos y utilizar una interfaz de visualización amigable.
Ambiente centralizado
Existen varias herramientas de centralización. Todas se componen de un agente o recolector y un servidor.
El agente se encarga de recolectar y enviar logs al servidor. Este, generalmente, se debe instalar en el equipo que se va a monitorear, pero existen aparatos, como algunos switches y routers que son capaces de enviar sus logs en formato syslog a un servidor. En este caso fungen como agentes.
El servidor almacena y procesa los logs recibidos.
Ventajas de la centralización
La centralización permite:
- Acceso rápido a todos los eventos generados dentro de el.
- Interfaces de análisis que facilitan la búsqueda de eventos.
- Implementación de redundancia
Herramientas para centralización
Syslog
Es la implementación mas sencilla de realizar. La mayoría de sistemas pueden enviar sus logs a un servidor syslog nativamente. Por defecto los servidores syslog no tienen interfaz gráfica, pero la solución es muy facil: instalar una interfaz gráfica. Hay muchas y algunas son gratuitas como php-syslog o Log Analyzer.
ELK
ELK es un conjunto de herramientas formado por: Elasticsearch, Log stash y Kibana. Es una implementación muy poderos, además es gratuita. Su implementación es sencilla, y puede aceptar un gran número de formatos de logs, entre ellos syslog. Admás se pueden crear plugins para formatos propios o no soportados, lo cuál le da una gran escalabilidad.
Para mas información consultar https://www.elastic.co/webinars/introduction-elk-stack.
Splunk
Splunk es una herramienta de pago, muy poderosa, capaz de manejar e indexar un gran volumen de información. Se pueden realizar búsquedas de información complejas muy fácilmente.