Definición de log de eventos

En términos informáticos, un evento es cualquier acción u suceso significativo que puede reconocer un sistema de software. Esta ocurrencia podría tener su origen en sistemas operativos, redes, servidores, firewalls, software antivirus, consultas de bases de datos, infraestructura de hardware, etc. El evento suele registrarse en un archivo especial llamado el log de eventos.

Un log de eventos es una lista en orden cronológico de los eventos registrados. Ten en cuenta también que el "Registro (Log) de eventos" es uno de los principales componentes de Microsoft Windows, aunque en este artículo haremos referencia al término genérico que se utiliza en todo los sistemas operativos, incluido Windows.

Los logs de eventos contienen información crucial, como:

• la fecha y la hora de la ocurrencia;
• la descripción actual del evento;
• la gravedad del evento;
• la aplicación o los procesos implicados;
• cualquier código específico que ayude a identificar el evento;
• otra información relevante, como direcciones IP o nombres de usuarios.

Esta información es de vital importancia para que los equipos de ITOps, DevOps y SecOps puedan comprender qué ha sucedido en un sistema, por ejemplo, si se ha bloqueado, se han producido actividades malintencionadas o ha fallado la infraestructura.

En este artículo, veremos qué se registra en un log de eventos, porqué son esenciales estos logs y dónde se utilizan.

¿Qué contiene un log de eventos?

En los sistemas informáticos, los logs de eventos recopilan información sobre los eventos de hardware y software. Estos logs pueden ser parte del sistema operativo o específicos de una aplicación.

Sistemas operativos

Por ejemplo, las entradas del Registro de eventos de Windows se generan en cualquier ordenador que utilice el sistema operativo Windows. Estos eventos se clasifican, por lo general, en tres categorías:

1. eventos relacionados con el sistema que recopilan eventos del propio sistema operativo;
2. eventos de aplicación registrados por las aplicaciones que se ejecutan en Windows;
3. eventos de seguridad que registran eventos de inicio y cierre de sesión.

De manera similar, en Linux, el proceso Syslog (rsyslog o journalctl) registra eventos relacionados con el sistema operativo y la aplicación. En las distribuciones Red Hat de Linux, el log de eventos suele ser un archivo /var/log/messages.

Aplicaciones, servidores y redes

Un log de eventos de base de datos registra información como:

• solicitudes de acceso;
• mensajes internos generados por el motor de la base de datos;
• consultas iniciadas por el usuario;
• solicitudes de API;
• ... etc.

El log de errores de SQL Server (conocido normalmente como ERRORLOG), es un ejemplo de log de eventos de base de datos.

Los servidores web como Apache o Nginx registran los eventos en  access.log y  error.log . El log de acceso registra las conexiones del servidor web, mientras que el log de errores contiene los mensajes de error generados por el software.

En el ámbito de las redes, los logs de eventos de router registran los eventos de tráfico de la red, así como los cambios realizados en la configuración del router. Por su parte, los logs de eventos de firewall recopilan eventos como el tráfico bloqueado en puertos específicos.

Servicios en la nube

En el contexto de los servicios en la nube, los logs de eventos como AWS CloudTrail, CloudWatch Log o AWS Config registran eventos enviados por diferentes servicios. Algunos ejemplos son eventos de bases de datos de instancias de RDS o la salida de una función sin servidor de Lambda.

Campos comunes en los logs de eventos

Un log de evento es un archivo estructurado que contiene registros de datos de eventos. Por lo general, cada log de evento tiene una serie de campos comunes. Estos campos pueden ser:

• la clasificación y el nivel de gravedad del evento. Por ejemplo, "información general", "advertencia" o "error crítico";
• la marca del tiempo del evento;
• el origen del evento, por ejemplo, hardware, software, sistema operativo, módulo de la aplicación, biblioteca o dirección IP remota;
• opcionalmente, el destino del evento, que puede ser una aplicación o una dirección IP, o cualquier otra ubicación;
• opcionalmente, un número de evento que identifica de forma única el evento, como un código de error interno del servidor web;
• el nombre de usuario, para acciones generadas por el usuario;
• la descripción real del evento.

El objetivo de estos campos es proporcionar toda la información relevante sobre el evento para analizarla.

¿Cómo se rellenan los logs de eventos?

Todos los sistemas operativos, y la mayoría de aplicaciones, generan su propio conjunto de logs de eventos. En la mayoría de los casos, escribirán continuamente en el mismo archivo e iniciarán uno nuevo cuando se supere el límite de tamaño definido. Los registros pueden ser detallados o concisos. La forma en la que se rellene cada log de evento dependerá de cómo se haya configurado la aplicación para enviar los eventos al log.

Por lo general, los administradores del sistema configuran el registro de eventos para cada una de las aplicaciones que gestionan. Los parámetros de configuración incluyen el nombre del archivo del log, los campos relacionados con el evento que se van a registrar, el periodo de retención de los eventos, el nivel de gravedad mínimo, la franja horaria, etc.

Los desarrolladores de software también usan los logs para recopilar información de eventos de las aplicaciones personalizadas que desarrollan. De hecho, cualquier aplicación hecha a medida puede enviar sus eventos al log de eventos del sistema operativo siempre que tenga acceso al log y pueda llamar a la API relacionada para publicar los datos. Por ejemplo, en el lenguaje T-SQL para Microsoft SQL Server, los eventos de aplicación de base de datos personalizados se pueden enviar al log de eventos de aplicaciones de Windows.

¿Por qué son tan importantes los logs de eventos?

Los logs de eventos son fundamentales para analizar la causa raíz de los problemas e incidentes, ya se deban a errores de hardware, fallos del sistema operativo, brechas de seguridad, fallos de aplicaciones o degradación del rendimiento. Para los equipos de operaciones y los ingenieros, la forma más eficaz de hallar la causa raíz de un problema es revisar los eventos en los archivos de log que precedieron al incidente en cuestión.

La resolución de problemas también puede implicar la correlación y el análisis de varios logs de eventos.

Al agrupar y correlacionar los datos de los logs de eventos de diferentes componentes, el encargado de la resolución de problemas puede crear una imagen completa del sistema. La gestión de logs moderna depende de la ingesta de varios logs de eventos para mostrar tendencias, anomalías y patrones. Este enfoque se ha convertido en una necesidad para los sistemas distribuidos complejos, en los que no siempre es posible detectar un problema mediante el análisis de un solo log.

Este tipo de recopilación y análisis detallados es un componente fundamental de la observabilidad del sistema, que es la capacidad de medir el estado interno actual de un sistema a partir de los datos que genera, incluidos los logs de eventos.

Descubre la plataforma con IA nativa líder del mundo para SIEM de nueva generación y gestión de logs

Mejora tu ciberseguridad con CrowdStrike Falcon^®, la principal plataforma nativa de IA para SIEM y gestión de logs. Disfruta de un registro de seguridad a escala de petabytes, con opciones de implementación nativas de la nube o de autoalojamiento. Registra tus datos con una arquitectura potente, sin índices y sin cuellos de botella, que hace posible el Threat Hunting con más de 1 PB de ingesta de datos al día. Disfruta de capacidades de búsqueda en tiempo real para superar al adversario y lograr una latencia inferior a un segundo en consultas complejas. Aprovecha una visibilidad integral que consolida los datos para acabar con los silos y permitir a los equipos de seguridad, TI y DevOps detectar amenazas, monitorizar el rendimiento y garantizar el cumplimiento sin problemas en 3 mil millones de eventos en menos de 1 segundo.