Casi todos los componentes de un entorno de TI (servidores, aplicaciones, dispositivos de red, etc.) generan un log. Estos archivos de log contienen información sobre los eventos externos o internos del sistema, desde datos sobre el estado hasta errores críticos. Los equipos de TI utilizan estos logs para depurar el código, solucionar errores y problemas de rendimiento, investigar las brechas de seguridad e incluso analizar el comportamiento de los clientes.

La mayoría de empresas recurre a soluciones de gestión de logs para ingerir, almacenar y analizar los logs. Además, los logs proceden de distinta fuentes y, por lo tanto, adoptan muchos tipos y formatos diferentes.

El análisis de logs consiste en convertir los datos de un log a un formato común para que sea legible por la máquina. Aunque en un principio estén en diferentes formatos, después de analizarlos podrás usar el sistema de gestión de logs para realizar búsquedas y analizar sus eventos como si fueran una sola unidad.

En este artículo, analizaremos a fondo el análisis de logs, cómo funciona y qué funciones son las más útiles. También presentaremos Falcon LogScale de CrowdStrike, un sistema de gestión de logs moderno.

¿Qué es el análisis de logs?

En primer lugar, el sistema de gestión de logs analiza los archivos para extraer información relevante. El análisis de logs traduce los archivos estructurados y no estructurados para que el sistema de gestión de logs pueda leer, indexar y almacenar sus datos. De esta manera, se puede filtrar, analizar y gestionar fácilmente la información clave.

Entre los formatos de log más comunes se incluyen:

• JSON;
• CSV;
• log de evento de Windows;
• formato de evento común (CEF);
• formato de log común de NCSA;
• formato de log extendido (ELF);
• W3C.

Uno de los formatos de datos estructurados más utilizado es JSON. Es la primera opción para muchos desarrolladores de aplicaciones porque la codificación Unicode hace que sea legible y accesible tanto para humanos como para máquinas. El siguiente fragmento muestra un documento JSON sencillo con pares clave-valor como elementos:

{
"userAccess":  {
"timestamp":  "2022-01-31 17:55.50”,
"client_ip": "10.2.31.21",
"username": "bob",
"status": "Error",
"message": "File not found"
}
}

Dado el amplio soporte de la comunidad para JSON, la mayoría de soluciones de gestión de logs ofrecen opciones de análisis para este formato de forma predeterminada.

¿Cómo funciona un analizador de logs?

Por lo general, los analizadores de logs se integran en el motor del software de gestión de logs. Así, cada gestor tendrá su propio método para analizar logs.

La mayoría de soluciones de gestión de logs cuentan con analizadores para tipos de datos comunes, como logs de eventos de Windows, JSON, CSV o W3C. Los analizadores está configurados para reconocer estos tipos de log en función de la estructura de los datos de origen y las extensiones de archivo.

Después de ingerir un archivo de log, el analizador aplica las reglas integradas para extraer nombres de campos útiles y sus valores. En ocasiones, puede almacenar los datos extraídos en una estructura jerárquica. Este enfoque permite al usuario buscar en cualquier campo y analizar en profundidad los resultados obtenidos para ajustar la consulta.

Para los tipos de log no estándar, los usuarios pueden proporcionar reglas de análisis. Para ello, se utilizan expresiones regulares o el lenguaje propio de la solución de registro. Algunas soluciones de gestión de logs simplifican el proceso al permitir al usuario crear la regla de análisis en una interfaz gráfica. Los usuarios pueden resaltar los nombres de los campos en los que están interesados; por su parte, en segundo plano, la solución de gestión de logs creará la regla de análisis.

Una vez analizados los logs, el sistema de registro ingerirá los datos para que los usuarios puedan consultarlos, analizarlos y visualizarlos.

Veamos ahora qué sucede con las entradas de log no estándar con un ejemplo:

2022-05-15T12:51:40+00:00 [WARN] "This is a warning" id=123 user=jbloggs
2022-05-15T12:52:42+00:00 [ERROR] "This is an error" id=124 user=unknown
...

Para analizar este log, podemos usar la siguiente expresión regular para extraer la marca de tiempo, el nivel del log, el mensaje, el ID y los campos de usuario de las entradas:

(?d{4}-d{2}-d{2}Td{2}:d{2})
[(?.+)]
s"(?.+)"s
id=(?d+)
user=(?w+)

En CrowdStrike, puedes utilizar nuestro propio lenguaje para analizar el mismo archivo de log y extraer la marca de tiempo:

/^(?S+)/ |
parseTimestamp("yyyy-MM-dd'T'HH:mm:ss[.SSS]XXX", field=ts)

¿Qué funciones de análisis de logs necesitas?

Las funciones de análisis de logs deberían ser uno de los aspectos clave a tener en cuenta al escoger una solución de gestión de logs. Es fundamental que los logs se ingieran y analicen rápida y fácilmente para dedicar más tiempo a estudiarlos.

Automatización

Asegúrate de que la herramienta que eliges incluye analizadores automáticos para los formatos de log más comunes. En cuanto a los logs personalizados, deberías poder realizar una búsqueda de texto completo en los datos sin procesar antes de crear reglas de análisis personalizadas.

Personalización

Los logs están disponibles en muchos formatos distintos, por lo que sería imposible que un sistema de gestión de logs fuese compatible con todos de forma predeterminada. Por eso, crear una configuración de análisis debe ser un proceso fácil e intuitivo. Algunas herramientas de registro proporcionan una GUI para crear configuraciones de análisis personalizadas. Otras, ofrecen un editor que personaliza las reglas de análisis.

Visualización

Si la configuración del análisis es incorrecta, se mostrarán los valores de datos equivocados y los resultados serán inexactos. Una buena solución de gestión de logs debería permitirte "probar" la regla de análisis mediante una vista previa de los pares clave-valor en una muestra de datos antes de guardarla. También debería proporcionar ayudas visuales para crear y actualizar la configuración del análisis. Para ello, podría usar un código de colores o una opción que resalte los campos sin coincidencia o los errores.

Descubre la plataforma con IA nativa líder del mundo para SIEM de nueva generación y gestión de logs

Mejora tu ciberseguridad con CrowdStrike Falcon^®, la principal plataforma nativa de IA para SIEM y gestión de logs. Disfruta de un registro de seguridad a escala de petabytes, con opciones de implementación nativas de la nube o de autoalojamiento. Registra tus datos con una arquitectura potente, sin índices y sin cuellos de botella, que hace posible el Threat Hunting con más de 1 PB de ingesta de datos al día. Disfruta de capacidades de búsqueda en tiempo real para superar al adversario y lograr una latencia inferior a un segundo en consultas complejas. Aprovecha una visibilidad integral que consolida los datos para acabar con los silos y permitir a los equipos de seguridad, TI y DevOps detectar amenazas, monitorizar el rendimiento y garantizar el cumplimiento sin problemas en 3 mil millones de eventos en menos de 1 segundo.

Para obtener más información sobre el estándar de análisis de CrowdStrike (CPS), visita: https://library.humio.com/integrations/packages-pasta.html