HERRAMIENTAS PARA MONITORIZAR EL SISTEMA... 3 INFORMACIÓN SOBRE LOS PROCESOS... 3

Transcripción

1 ÍNDICE HERRAMIENTAS PARA MONITORIZAR EL SISTEMA... 3 INFORMACIÓN SOBRE LOS PROCESOS... 3 Comando pstree...3 Comando top...3 Comando renice...3 Comando w, who...3 Comando ac...3 Comando uptime...3 ficheros /var/run/utmp, /var/log/wtmp...3 USO DE MEMORIA... 4 Comando free...4 INFORMACIÓN DEL SISTEMA DE FICHEROS... 4 Comando df...4 Comando du...4 Comando lsof...4 Comando lsmod...4 Comando modprobe...4 INFORMACIÓN DEL HARDWARE... 4 Comando lspci...4 Comando setpci...4 Comando lscpu...4 Comando lsusb...4 HERRAMIENTAS GRÁFICAS... 4 RECURSOS ADICIONALES... 5 /proc...5 FICHEROS LOG... 5 POR QUÉ SON IMPORTANTES LOS LOGS?... 5

2 DEMONIO RSYSLOGD... 6 AUDITORÍA EN LINUX... 7 Comando lastlog...7 Comando last...7 Comando lastb...8 ELIMINANDO NUESTRO RASTRO... 8 MIRANDO LOGS... 9 Comando find...9 Comando grep... 9 Comandos cut, sort y uniq...10 Comando sed/awk...10 MANIPULANDO LOGS MENSAJES DEL NÚCLEO Y DEL SISTEMA CREANDO PROGRAMAS: INFORMANDO A SYSLOG OTRAS HERRAMIENTAS gnome-system-log...14 SWATCH...15 Watcher...15 PingLogger...16 LogSurfer...16 Netlog...16 EJEMPLO PRÁCTICO: WEBMIN BIBLIOGRAFÍA Equipo docente Sistemas Operativos Universidad de Las Palmas de Gran Canaria

3 Herramientas para monitorizar el sistema Veamos distintos comandos y herramientas para obtener información importante del sistema, referente a los procesos, al uso de la memoria principal, al sistema de ficheros, etc. Información sobre los procesos Comando ps Informa sobre el estado de los procesos del sistema, admite varias opciones para especificar la información a mostrar. ps aux less podemos filtrar o buscar información de un proceso en particular, combinando con el comando grep, para obtener información de un programa particular miprograma. ps ax grep miprograma Comando pstree Presenta de forma gráfica un árbol con los procesos del sistema. La raiz del arbol es el primer proceso del sistema init. Comando top Muestra los procesos que mas CPU consumen, incluyendo información de uso de CPU y memoria en tiempo real, actualizándose cada 5 segundos. Para salir del comando top presione la tecla q. Mientras top se esta ejecutando se pueden dar ordenes interactivas como: u ordenar por usuario M ordenar por memoria P ordenar por usos de CPU h ayuda de pantalla Comando renice Permite alterar la prioridad de un proceso. Comando w, who Muestra que usuarios están conectados y que están haciendo. Comando ac Muestra datos estadísticos del tiempo que se han conectado los usuarios. Comando uptime Indica el tiempo que el sistema lleva encendido. ficheros /var/run/utmp, /var/log/wtmp Estos son registros de sesiones que almacenan información de quienes están usando el sistema actualmente, desde programa haciendo #include <utmp.h> podemos utilizarlos y obtener información del los procesos. El fichero wtmp registra todos los inicios y final de sesión, updwtm escribe líneas en este fichero.

4 Uso de memoria Comando free Muestra la memoria principal del sistema, el área swap, así como la cantidad de memoria usada, libre, compartida, usada por los buffers del núcleo y memoria cache. Información del sistema de ficheros Comando df Muestra la utilización del espacio en disco en el sistema de ficheros. Comando du Muestra una estimación del uso de espacio de ficheros en cada directorio. Comando lsof Lista los ficheros abiertos Comando lsmod Muestra el estado de todos los módulos instalados en el sistema. Comando modprobe Permite añadir o quitar módulos dentro del núcleo. Información del hardware Comando lspci Muestra una lista de todos los dispositivos PCI, que están conectados al bus PCI, mostrando constructor, modelo, tamaño de la memoria. Comando setpci Permite configurar los dispositivos PCI. Comando lscpu Muestra información de la arquitectura de la CPU. Comando lsusb Lista los dispositivos USB Herramientas gráficas En Aplicaciones Herramientas del sistema encontramos utilidades gráficas como: monitor del sistema

5 Con el menu edit, permite parar, reanudar, matar y finalizar un proceso. Con el menu view, podemos ver información de todos los procesos o un proceso en particular, sus dependencias y la memoria que usa. En la pestaña recursos, podemos ver de forma gráfica el historial de uso de la Cpu, memoria y red del sistema. En la pestaña Sistema de archivos podemos ver de modo gráfico el uso del disco por parte de los sistemas de ficheros. Existen otras utilidades gráficas como el analizador de uso del disco. Recursos adicionales /proc cpuinfo, modules, version,.. Ficheros log Los administradores de sistemas deben velar no solo por la integridad de los datos de sus usuarios o por la correcta configuración de sus máquinas, sino también por la seguridad. Uno de los aspectos que deben tratar es la revisión de registros de seguridad en busca de accesos indebidos, malos usos o intentos de ataque (vía internet o localmente). Estos registros de seguridad, denominados logs, se encargan de registrar información importante del sistema, que al administrador le puede interesar: programas en mal funcionamiento, entradas y salidas de usuarios, archivos corruptos, etc. El nivel de detalle de los logs de seguridad es parametrizable y configurable por el administrador y puede llevarle a ver detalles que de otra forma sería imposible. Los logs de seguridad en Linux son en texto plano, así que se pueden hacer búsquedas y leer sin necesidad de usar herramientas especiales. El administrador también podrá escribir scripts que revisen los logs y extraigan la información que le interese (por ejemplo: buscar accesos el día X a las 10 AM). Estos registros se encuentran ubicados normalmente en el directorio /var/log. El núcleo y el sistema mantiene varios logs, pero los programas y servicios también pueden ubicar sus archivos de logs en ese directorio, o en otros. Muchos logs solo pueden ser leídos por el root, pero eso puede cambiarse simplemente cambiando los permisos de acceso del archivo en cuestión. Por qué son importantes los logs? El proceso de registro de logs, logging, es cualquier procedimiento por el que un sistema operativo o aplicación graba eventos mientras ocurren y los guarda para un examen posterior. Un administrador de sistemas no puede estar continuamente al frente del monitor de todos sus usuarios comprobando las acciones de estos sobre el sistema. Los logs permiten guardar información importante del sistema para que posteriormente el administrador pueda recuperar y revisar esa información: fecha y hora de acceso de los usuarios, PID de los programas que fallaron, así como registros con la hora y día de sucesos, etc.

6 Demonio rsyslogd El demonio rsyslogd es el encargado de guardar informes sobre el funcionamiento del sistema de la máquina donde se esté ejecutando. Sin este demonio sería muy difícil realizar logs en el sistema. Podemos acceder a su archivo de configuracion en /etc/rsyslog.conf. Este se encarga de indicar qué se envía y a dónde (esto no quita que existan programas que se encargan de administrar sus propios logs, como Apache). En este fichero, lineas en blanco o que comienzan por # son ignoradas, esta estructurado en secciones: Módulos. Comienzan con el signo $ y se especifica los módulos a cargar. Directivas globales. Comienzan con el signo $ y especifican características globales como el tamaño de la cola de mensajes. Formatos. Se especifica el formato de salida de los mensajes. Reglas. Contiene dos campos separados por blancos el selector, que especifica el servicio que genera el mensaje y su prioridad separados por un punto, y la acción a realizar, que normalmente especifica donde enviar el mensaje, fichero u otro computador. En el fichero syslog.conf especificamos: - Regla Qué registrar?: se indica el servicio que envía el mensaje y la prioridad de este último separados por un punto. Servicio Descripción kern Generados por el núcleo user Procesos de usuario mail Mensajes correo daemon Demonios del sistema auth Sistema de autorización syslog Mensajes internos syslogd lpr Sistema impresión cron Sistema cron local0-7 Reservados Prioridad Descripción Debug Mensajes Depuración Info Mensajes información Notice No son errores, pero requieren atención Warning Avisos (cuotas, vencimiento pass, etc) Err Otros errores Crit Condiciones críticas (errores dispositivos) Alert Alerta (ciertos usuarios) Emerg Emergencia (todos los usuarios) None No se envían a los logs

7 - Acción Dónde guardarlo?: se indica dónde se enviarán los logs (fichero, impresora, otro servidor, etc). Generalmente se envían a archivos de texto plano. Básicamente podemos especifciar que el log se envíe: o Fichero: especificamos su ruta completa: kern.* /var/log/kern.log o Dispositivo: especificamos la ruta del dispositivo: kern.emerg /dev/console o Pipe: especificamos la ruta del archivo pipe 1 : kern.emerg /var/log/mipipe o Host: especificamos el nombre de la máquina (en la máquina remota syslogd debe tener la opción -r activada para que acepte conexiones remotas): Auditoría en Linux Ahora que ya sabemos cómo recoger información y guardarla en los ficheros de log, que normalmente se encuentran en /var/log/, podemos realizar un proceso de auditoría. Si bien los ficheros de log son ficheros de texto que podemos visualizar con un editor, existen algunos comandos de Linux para facilitar la labor de auditoría del sistema al administrador. Comando lastlog Este comando nos muestra una lista de los usuarios que tiene el sistema, así como la fecha y hora de su último acceso al sistema. Este comando lo que hace es leer del fichero /var/log/lastlog la información (este archivo es temporal, así que se recomiendo realizar copias de seguridad habitualmente). [root@localhost ~]# lastlog Nombre Puerto De Último root :0 dom nov 22 16:33: apache **Nunca ha entrado** scandela **Nunca ha entrado** mysql **Nunca ha entrado** cruben **Nunca ha entrado** fran tty2 dom nov 15 11:44: Podemos especificar un nombre de usuario en concreto añadiendo la opción -u <nombre>: [root@localhost ~]# lastlog -u scandela Nombre Puerto De Último scandela **Nunca ha entrado** 1Para crear un archivo pipe: $ mkfifo <nombre> && chmod 644 <nombre>

8 Comando last El comando last informa del último logging que ha habido al sistema. Como se explica en la página del manual de last: ~]# last root :0 Sun Aug 2 14:46-14:48 (00:01) root :0 Sun Aug 2 14:46-14:46 (00:00) reboot system boot el5 Sun Aug 2 14:45 (00:02) root pts/1 :0.0 Sun Aug 2 14:41-14:43 (00:01) root :0 Sun Aug 2 14:41-14:43 (00:01) root :0 Sun Aug 2 14:41-14:41 (00:00) reboot system boot el5 Sun Aug 2 14:40 (00:03) root pts/1 :0.0 Sun Aug 2 14:35-14:38 (00:02) root :0 Sun Aug 2 14:32-14:38 (00:06) root :0 Sun Aug 2 14:32-14:32 (00:00) reboot system boot el5 Sun Aug 2 14:31 (00:07) reboot system boot el5 Sun Aug 2 14:25 (00:04) Como ocurría en el comando lastlog, podemos especificar un usuario concreto añadiendo el nombre del mismo (por ejemplo, last scandela). Comando lastb Lastb nos permite ver los usuarios que intentaron entrar y no pudieron (debido probablemente a una contraseña incorrecta). Este comando puede servirle al administrador para saber los intentos de acceso por fuerza bruta que ha habido. [root@localhost ~]# lastb root tty2 Tue Nov 3 16:55-16:55 (00:00) fran tty2 Tue Nov 3 16:55-16:55 (00:00) root tty2 Tue Nov 3 16:45-16:45 (00:00) fran tty2 Tue Nov 3 16:45-16:45 (00:00) root :0 Tue Nov 3 16:13-16:13 (00:00)

9 Eliminando nuestro rastro Pongámonos ahora en el lado del atacante: intentamos entrar y nuestros movimientos están siendo registrados en el sistema. Cómo lo evitamos? Pues sencillamente no podemos porque no podemos parar el demonio syslogd. Pero si que podemos modificar los ficheros de log. Existen programas que facilitan esta función y se denominan barredores. Estos programas se encargan de limpiar los registros de log para borrar toda evidencia de actividad en el sistema. Los más comunes son: cloak, cloak2, utclean, remove, utmpedit, syslog fogger y marry. La mayoría de los barredores utilizan dos bibliotecas: - utmp.h: capta niveles de ejecución, carga eventos de tiempo, procesos init, procesos login, procesos de usuario, tipo de login, nombre de host originario, etc. - unistd.h: capta mensajes de sistema sobre condiciones de error, condiciones de aviso, información de depuración, etc. Como no es posible evitar el uso de barredores, algunas prácticas aconsejables son: - Utilizar herramientas de logging de terceros. - Crear nuestras propias herramientas de log. - Duplicar los archivos de log. - Realizar logs duros (por ejemplo, imprimiéndolos en papel). - Usar logs remotos: enviar copias de los logs de eventos a máquinas remotas. Mirando logs Hemos comentado varias veces ya que los logs son simplemente ficheros en texto plano. Estos ficheros pueden llegar a tener miles de líneas en cuestión de minutos, dependiendo de la máquina que poseamos. Por tanto, podemos concluir que visualizar estos archivos manualmente es inviable y buscar en ellos algo a golpe de vista es casi imposible. Pero como estamos en un sistema Linux podemos usar algunos comandos. Comando find Este comando nos permite buscar archivos en directorios, incluso según sus permisos. Esto es muy útil cuando tenemos cientos de ficheros repartidos en decenas de carpetas (por ejemplo, carpetas que contengan los logs de cada semana durante el último año). Por ejemplo: - Dónde está el archivo log_ ? $ find / -name log_ Qué archivos tienen permisos r+w+x para todo el mundo? $ find / -perm 777 Comando grep Grep filtra los resultados que coincidan con un patrón dado. Este patrón se le puede proporcionar directamente o mediante un fichero. Por ejemplo: - Ha intentado el usuario fran entrar? $ lastb grep fran

10 - Qué archivos de /var/log se modificaron en Enero? $ ls -latr /var/log grep $(date %b) Comandos cut, sort y uniq El comando cut corta campos especificados de las líneas de un fichero en base a un delimitador dado. Sort simplemente ordena los resultados y uniq agrupa los resultados repetidos. En el siguiente ejemplo los usamos todos: $ last cut -f1 -d ' ' sort uniq -c sort n El comando last muestra los últimos acceso. Al resultado le aplicamos cut diciéndole que queremos el primer campo (-f<numero>) que está separado por el delimitador <espacio>. Este resultado lo ordenamos para que aparezcan seguidos los que se llamen igual y contamos las veces que aparece cada uno. Si ahora aplicamos sort lo que hacemos es ordenar numéricamente los resultados que nos dio el comando uniq. Comando sed/awk Los comandos sed y awk permiten filtrado, borrado y extracción de líneas. Son comandos sumamente potentes y muy usados en entornos administrativos. La cantidad de variantes y posibilidades son enormes, así que mostraremos sólo algunos ejemplos. - Borrado de líneas que contengan la palabra DHCP: sed s/dhcp/d <fichero> - Sustitución de la palabra HOLA por la palabra ADIOS: sed s/hola/adios/d <fichero> - Quitar líneas que coincidan con un patrón (por ejemplo, quitar todos los comentarios de un código BASH): sed s/^#/d <fichero> - Borrar todos los directorios de una carpeta: mostramos los ficheros, filtramos para coger los directorios y para cada uno de ellos generamos una orden rm r <nombre> ; por último mandamos dichas órdenes a una terminal para que se ejecuten. $ ls -l grep '^d' awk '{print "rm -r "$9}' sh Manipulando logs Si nuestro sistema posee pocos usuarios, los logs crecerán lentamente; pero si nuestro sistema posee decenas de usuarios, la actividad generada por cada uno de ellos es bastante elevada. Consecuentemente los logs toman dimensiones demasiado grandes para ser tratados como ficheros únicos. Por esta razón es conveniente crear particiones de los logs. Para ello podríamos usar la herramienta logrotate. Esta herramienta nos permite ir rotando los logs de tal forma que cuando alcancen un determinado tamaño, el contenido viejo se guarde en un archivo y el nuevo contenido sea registrado en un nuevo fichero totalmente limpio. De esta forma podremos mantener un archivo mucho más cómodamente de logs del sistema. Generalmente logrotate se ejecuta automáticamente cada cierto tiempo, pero también puede ejecutarse manualmente. Cuando es ejecutado tomará la versión actual de los archivos de log y les añadirá un ".1" al final del nombre de archivo. Luego, cualquier otro archivo rotado previamente será renombrado secuencialmente ".2", ".3", etc. Cuando más grande el número del log, más viejo es.

11 Esta configuración se puede cambiar editando el fichero /etc/logrotate.conf. Veamos un sencillo ejemplo: rotate 5 weekly /var/log/messages { create 0640 admin root compress postrotate /bin/kill -HUP cat /var/run/syslogd.pid endscript } Lo que establecemos inicialmente es la periodicidad de rotación (rotar cada 5 semanas). Luego establecemos los archivos de log que queremos rotar (pueden ser uno o varios si usamos expresiones regulares). Tras ello, logrotate creará un fichero con los permisos que indicamos y cuyo usuario/grupo es admin/root (este fichero irá comprimido ). Lo que se indica entre postrotate y endscript será lo que se ejecute una vez terminada la rotación; en este caso reiniciamos el demonio syslogd. A continuación se muestra una tabla que contiene todas las posibles directivas que pueden ir entre las llaves { } en el fichero de configuración de logrotate: Instrucción Función compress Las versiones antiguas de los archivos de registro se comprimen con gzip copytruncate Trunca el archivo de registro original en el lugar en el que se encuentre tras crear una copia, en vez de mover el archivo antiguo y crear una nuevo opcionalmente. Se puede usar cuando a algún programa no se le puede ordenar que cierre su archivo de registro y por lo tanto podría seguir escribiendo (añadiendo) continuamente en el archivo de registro anterior. create mode owner group daily delaycompress errors address ifempty include Se crea el archivo de registro inmediatamente después del cambio (antes de que se ejecute el script postrotate). mode especifica el modo del archivo de registro en octal, owner especifica el nombre del usuario al que pertenecerá el archivo de registro, y group especifica el grupo al que pertenecerá el archivo. Se puede omitir cualquiera de los atributos del archivo de registro, en cuyo caso, el nuevo archivo usará los valores del archivo antiguo para aquellos atributos que se hayan omitido. Los archivos de registro se cambian diariamente. Pospone la compresión del archivo de registro anterior hasta el siguiente ciclo de rotación. Sólo tiene efecto cuando se usa en combinación con compress. Se puede usar cuando no se puede ordenar a un programa que cierre su archivo de registro y podría continuar escribiendo en él durante algún tiempo. Cualquier error que ocurra durante el procesamiento de los registros se enviará a la dirección de correo que se especifique. Cambia el archivo de registro incluso si está vacío, anulando la opción notifempty (opción por defecto). Lee el archivo dado como argumento como si se incluyese donde

12 file_or_directory monthly nocompress nocopytruncate nocreate nodelaycompress nomail noolddir notifempty olddir directory postrotate/endscrip t aparece la directiva include. Los únicos archivos que se ignoran son archivos que no son corrientes (tales como directorios y pipes con nombre) y aquellos archivos cuyos nombres terminan con una de las extensiones tabú según se especifica en la directiva tabooext. La directiva include puede no aparecer en la definición de un archivo de registro. Los archivos de registro se cambian la primera vez que se ejecuta logrotate en un mes (normalmente el primer día del mes). Las versiones antiguas de los archivos de registro no se comprimen con gzip. No trunca el archivo de registro original en el lugar en el que se encuentre tras crear una copia. (Esto anula la opción copytruncate). No se crean archivos de registro nuevos (esto anula la opción create) No pospone la compresión del archivo de registro anterior hasta el próximo ciclo de cambio (esto anula la opción delaycompress). No envían los archivos de registro antiguos a ninguna dirección de correo. Los archivos se cambian en el mismo directorio en el que el archivo reside normalmente (esto anula la opción olddir). No rota el archivo de registro si está vacío (esto anula la opción ifempty). Los archivos de registro se mueven a directory para su rotación. El directory debe encontrarse en el mismo dispositivo físico que el archivo de registro que se va a cambiar. Cuando se usa esta opción, todas las versiones antiguas del archivo de registro van a parar a directory. Esta opción puede anularse por medio de la opción noolddir. Las líneas entre postrotate y endscript (ambas deben aparecer en líneas por separado) se ejecutan una vez que el archivo de registro ha sido rotado. Estas directivas sólo pueden aparecer dentro de una definición de archivo de registro. prerotate/endscript Las líneas entre prerotate y endscript (ambas deben aparecer en líneas por separado) se ejecutan una vez que el archivo de registro ha sido rotado. Estas directivas sólo pueden aparecer dentro de una definición de archivo de registro. rotate count size size tabooext [+] list Los archivos de registro se cambian <count> veces antes de ser eliminados o enviados a la dirección especificada en una directiva mail. Si count es 0, las versiones antiguas se eliminarán en vez de ser cambiadas. Los archivos de registro se cambian cuando superan el tamaño de size bytes. Si a size le sigue M, se asume que se está indicando el tamaño en megabytes. Si se usa k, el tamaño será en kilobytes. Por lo tanto son válidos tanto size 100 como size 100k y size 100M. Se cambia la lista actual de extensiones tabú (véase la directiva include si se desea información sobre las extensiones tabú). Si un

13 weekly + precede a la lista de extensiones, la lista actual de extensiones tabú se aumenta, de otro modo se reemplaza. Al comienzo, la lista de extensiones tabú contiene.rpmorig,.rpmsave,,v y ~. Los archivos de registro se cambian si el día de la semana actual es menor que el día de la semana del último cambio o si ha pasado más de una semana desde el último cambio. Normalmente, esto es lo mismo que cambiar los archivos el primer día de la semana, pero funciona mejor si logrotate no se ejecuta todas las noches. Mensajes del núcleo y del sistema El registro de mensajes del núcleo es la parte más importante de información del sistema de logs. El archivo /var/log/messages contiene los mensajes del núcleo de cuando arranca el sistema, así como otros emitidos durante su funcionamiento. Los mensajes del núcleo y del sistema son manipulados por dos demonios: - syslog: guarda el tipo de logging que utilizan muchos programas. Típicos valores que retiene syslog son el nombre del programa, el tipo de servicio y la prioridad. - klogd: intercepta y hace logs de mensajes del núcleo. El comando que podemos usar para ver estos mensajes es dmesg. Este comando lo que hace es volcarnos por pantalla o donde le indiquemos los mensajes del sistema. Creando programas: informando a syslog Como administradores de sistemas toda la información que syslog nos registra nos puede parecer útil. Pero en ocasiones disponemos de nuestros propios programas de control y nos gustaría que también se nos registraran ciertos eventos en el sistema. Es posible mandar mensajes a syslog directamente desde nuestros propios programas usando la biblioteca syslog.h en C. Solamente debemos especificar el nivel de prioridad, la facilidad y el mensaje que queramos imprimir. #include <syslog.h> void main { syslog ( LOG_ALERT, Alerta.\n); syslog ( LOG_CRIT, Mensaje crítico.\n); syslog ( LOG_NOTICE, Noticia.\n); syslog ( LOG_WARNING, Aviso.\n); } Las dos tablas siguientes muestran las prioridades y facilidades que debemos usar a la hora de imprimir en syslog directamente desde nuestros programas: Nivel LOG_CRIT LOG_DEBU G LOG_EMER G LOG_ERR LOG_INFO Función Hace log de un mensaje crítico. Hace log de un mensaje de nivel de depuración. Hace log de un mensaje de emergencia. Hace log de un mensaje de error. Hace log de un mensaje de información.

14 LOG_NOTI CE LOG_WARN ING Facilidad LOG_AUTH PRIV LOG_CRON LOG_DAEM ON LOG_KERN LOG_LPR LOG_MAIL LOG_NEWS LOG_SYSLO G LOG_USER LOG_UUCP Hace log de un mensaje de aviso. Hace log de una condición de aviso. Función Especifica que el mensaje actual es una notificación de seguridad, autorización o autentificación. Especifica un mensaje de demonio de reloj ( cron/at ). Especifica un mensaje de demonio de sistema. Especifica un mensaje núcleo. Especifica un mensaje demonio de la impresora en línea Especifica un mensaje del susbsistema de correo. Especifica un mensaje de noticias Usenet. Especifica un mensaje syslog interno. Especifica un mensaje de usuario genérico. Especifica un mensaje UUCP. Otras herramientas En el mercado existen multitud de herramientas de empresas y terceros que nos facilitan la labor de log y auditoría en entornos Linux. Nombraremos a continuación las más conocidas por los administradores de sistemas. gnome-system-log Se instala con: yum install gnome-system-log Una vez instalado podemos arrancarlo en Aplicaciones -> Herramientas del Sistema -> Visor de archivo de sucesos, o directamente mediante el comando: gnome-system-log

15 Permite definir filtros, para facilitar las labores de búsqueda de información. SWATCH Está anticuado. Los autores crearon SWATCH como suplemento a las capacidades de logging de los sistemas UNIX fuera del paquete. Consecuentemente, SWATCH tiene capacidades de logging que exceden con mucho su syslog normal, SWATCH ofrece supervisión a tiempo real, logging e información. Y como SWATCH está escrito en Perl, es portatil y extensible. SWATCH tiene varias características únicas, que incluyen las siguientes: - Una utilidad backfinger que intenta conseguir información finger del sistema atacante. - Sistema de paginado instántaneo (así puede recibir informes al momento). - Comandos de ejecución Por último, SWATCH cuenta archivos de configuración locales. Como es conveniente, pueden existir múltiples archivos de configuración en la misma máquina. Además, mientras que originalmente estaban dirigidos sólo a administradores de sistemas, cualquier usuario con privilegios adecuados puede utilizar SWATCH. Watcher Watcher analiza varios logs y procesos, buscando alguna actividad radicalmente anómala (puede interpretar la salida de comandos como ps sin desconectar alarmas). Watcher se ejecuta en sistemas UNIX y requiere un compilador C.

16 PingLogger PingLogger hace logs de paquetes ICMP a un archivo exterior. Al utilizar esta utilidad se puede determinar fiablemente quién está haciendo ataques smurf inundando nuestra red e intentando bloquear el sistema. LogSurfer LogSurfer es una herramienta de análisis de log comprensible. El programa examina archivos de texto de logs y en base a lo que encuentra (y a las normas que le proporcione), puede llevar a cabo varias acciones. Entre ellas se deberían incluir la creación de una alerta, ejecución de un programa externo o, incluso, extraer porciones de los datos log y alimentarlos con comandos o procesos externos. Netlog Netlog es una colección de utilidades de logging y de supervisión de red ( tcplogger, udplogger, netwatch y extract). Netlog puede hacer log de todas las conexiones TCP ( y sesiones UDP ) en una subred y ofrece supervisión e informacióna tiempo real. Ejemplo práctico: Webmin Para afianzar un poco los conocimientos utilizaremos Webmin. Esta aplicación nos monta una interfaz web que podemos usar para gestionar nuestra máquina (no sólo los logs, sino también otros parámetros del sistema). Además, su instalación es muy sencilla y la comodidad de uso es bastante elevada. Empezaremos yendo a la web del fabricante y nos descargamos el paquete que corresponda con nuestra versión de Linux. En nuestro caso estamos en CentOS, así que nos bajamos el RPM que aparece en segundo lugar en la lista de descargas: Una vez descargado, hacemos doble click sobre él y lo instalamos (en caso de necesitar dependencias las instalará automáticamente). Pues ya está instalado, así que ahora podemos abrir un navegador y escribir en la barra de direcciones para acceder a la interfaz web:

17 Puede que nos aparezca un aviso de que no es posible iniciar la web. Probaremos entonces con la URL (nos aparecerá una petición de aceptación de certificado digital, a la que haremos caso y aceptaremos). Una vez dentro podemos ir al apartado de System > System Logs y obtendremos una interfaz que nos permitirá crear reglas en el fichero de configuración syslog.conf de forma muy cómoda simplemente con un par de clicks: También podemos establecer la periodicidad de rotación de logs y demás parámetros de logrotate si accedemos a la opción Log File Rotation. Sin duda, es mucho más intuitivo de configurar usando esta herramienta que editando directamente el fichero de configuración y si tuviéramos muchísimas reglas y rotaciones ya establecidas nos resultaría muy engorroso comprobarlas una a una: Bibliografía

18 Auditoría del sistema (Rediris) man last/lastb/lastlog/logrotate (Linux) Página oficial Webmin El demonio syslogd (ibiblio)