Análisis de los ficheros de logs(Parte VI)

Continuando con esta seria de artículos sobre los el análisis de los ficheros de registro, los logs del sistema, en este artículo veremos seguiremos viendo algunas de las herramientas que más se utilizan para realizar el análisis de nuestros ficheros de logs.

La primera herramienta de la cual me gustaría hablar es Logsurfer, que fue escrito por Wofgang Ley y Uwe Ellerman en DFN-CERT de Alemania, este programa se caracteriza por a posibilidad de establecer reglas dinámicas, además de permitir agrupar líneas del log por contexto, es decir, que permite agrupar todas las referentes por ejemplo a ssh.

Como hemos comentado, Logsurfer nos permite dividir los mensajes en contextos separados y decidir si el contexto en su totalidad es o no sospechoso.

Si por ejemplo, hemos detectado que alguien ha escrito en nuestro fichero ssh, y nos gustaría saber que usuario es el que lo ha conseguido, con la mayoría de los programas tendríamos que ir a nuestros ficheros de logs y buscar la línea con la escritura en el fichero de ssh y la línea referente a la conexión realizada, y de las cuales existen muchas líneas de este tipo siendo fácilmente ignoradas por los programas de análisis, mientras que con Logsurfer tendrías ambas líneas al poder decidir el contexto.

La configuración de Logsurfer es un poco compleja, se utilizan expresiones regulares estándar para determinar qué líneas son las importantes.

El formato de las líneas del fichero de configuración es el siguiente:

match-exp not-match-exp stop-exp not-stop-exp timeout action

Donde el significado de cada campo es el siguiente:

• match-exp -> Es la expresión regular que filtra las líneas que deben ser procesadas.
• not-match-exp -> Si se cumple el patrón anterior, pero el patrón not-match-exp también se cumple, entonces no se procesará la línea.
• stop-exp -> Elimina esta regla si la línea cumple este patrón.
• not-stop-exp -> Similar al campo not-match-exp, pero en este caso significa que se elimina la regla si se cumple el patrón stop-exp, a no ser que también se cumpla el patrón not-stop-exp.
• timeout -> Número de segundos que esta regla debe estar activa, un cero indicaría un tiempo de actividad infinito.
• action -> Acción que se realiza si se cumpla la regla.

Dentro de las posibles acciones que se pueden poner en el campo action son las siguientes:

• ignore -> Ignora esta regla.
• exec -> Ejecuta el programa especificado.
• pipe -> Ejecuta el programa especificado y envía la línea del registro por la entrada estándar.
• open -> Inicia un nuevo contexto.
• delete -> Elimina un contexto.
• report -> Abre un programa y envía todas las definiciones de contexto especificadas.
• rule -> Crea una regla dinámica.

Con lo que Logsurfer permite tener un control total sobre los registros de tu sistema, pero como veis la configuración es un poco más complicada, además tiene la desventaja que consume bastante memoria así como CPU, por lo que suele dejar esta herramienta para analizar registros muy específicos y se deja Logsentry o las herramientas que veremos en los siguientes artículos para analizar el grueso de los registros.

En el artículo de la semana que viene continuaremos viendo herramientas que nos sirvan para analizar nuestros fichero de logs.

Mediante este artículo que está compuesto por ocho partes en las cuales aprenderás donde como analizar un fichero de logs, así como a usar varias herramientas que te facilitarán el trabajo de análisis de logs, las partes que forman este artículo son:

• Análisis de los ficheros de logs(Parte I)
• Análisis de los ficheros de logs(Parte II)
• Análisis de los ficheros de logs(Parte III)
• Análisis de los ficheros de logs(Parte IV)
• Análisis de los ficheros de logs(Parte V)
• Análisis de los ficheros de logs(Parte VI)
• Análisis de los ficheros de logs(Parte VII)
• Análisis de los ficheros de logs(Parte VIII)