El volumen de datos que se generan en los sistemas modernos ha crecido exponencialmente en los últimos años, y los archivos de log representan una parte importante de este crecimiento. Los componentes que generan logs incluyen:

• Servidores
• dispositivos de red;
• sistemas operativos;
• aplicaciones de software;
• servicios en la nube;
• ...y muchos más.

Las empresas recopilan y almacenan logs para ayudar a solucionar incidentes, encontrar la causa raíz de los problemas de rendimiento, investigar las brechas de seguridad o satisfacer los requisitos de cumplimiento.

No obstante, los logs consumen una cantidad considerable de espacio en disco. El tamaño de cada log individual puede aumentar de forma descontrolada y sobrepasar el espacio en disco. Sin un control adecuado, surgirán problemas en el rendimiento del sistema.

Este es el motivo por el que se usa la rotación de logs: una forma controlada de archivar los logs más antiguos para que haya espacio para los nuevos.

En este artículo trataremos los conceptos básicos de la rotación de logs, por qué es importante y qué puedes hacer con los más antiguos. También analizaremos brevemente Falcon LogScale, un sistema de gestión de logs basado en la nube.

¿Qué es la rotación de logs?

La rotación de logs es un proceso que permite controlar el tamaño de los archivos de log. Cuando un archivo de log existente alcanza un umbral determinado (por lo general, un tamaño de archivo, una antigüedad o un número de registros determinado), la aplicación asociada le cambiará el nombre, creará un nuevo archivo con el nombre original y continuará registrando eventos en el nuevo archivo. La aplicación podría comprimir el archivo de log antiguo, archivarlo o incluso eliminarlo. La rotación de logs es un proceso automático y rápido que lleva tan solo unos segundos, y algunas aplicaciones ejecutan un hilo específico para gestionarlo.

Un estilo de nomenclatura común para la rotación de logs es añadir la marca de tiempo de la rotación al nombre del archivo más antiguo. Por ejemplo, si el log se llama mylogfile.log, el archivo rotado se llamará mylogfile_xxxxxxxx.log (donde xxxxxxxx es una fecha o marca de tiempo), mientras que el nuevo se llamará mylogfile.log. El archivo de log resultante podría mostrar entradas como las siguientes:

mylogfile.log
mylogfile_20220429.log
mylogfile_20220430.log
...
...

A veces, también es posible que veas sufijos en los archivos de log en lugar de marcas de tiempo. Por ejemplo, el nombre del archivo de log de error de SQL Server es ERRORLOG y los archivos más antiguos se llamarán ERRORLOG.1, ERRORLOG.2, ERRORLOG.3, etc. Cuanto mayor sea el número, más antiguo será el archivo.

Para controlar los ajustes de rotación de logs, puedes configurar la aplicación o el sistema operativo con ciertos criterios. Una vez guardados, se activará la rotación de logs cada vez que se cumplan los criterios definidos. Como medida temporal, también puedes desactivar la rotación en algunos casos. Además, algunas aplicaciones te ofrecen la posibilidad de nombrar los logs, especificar dónde los quieres guardar e incluso desactivar el registro por completo.

A veces, es necesario conservar los logs antiguos localmente, ya que los eventos pueden abarcar varios archivos que ya se han rotado. Puedes comprimir los archivos antiguos para ahorrar espacio en el servidor o configurarlos para que se eliminen después de un periodo específico. También puedes moverlos a dispositivos de almacenamiento de archivo, servidores de respaldo, soportes de almacenamiento de objetos basados en la nube como S3 o un sistema de gestión de logs para conservarlos a largo plazo.

¿Por qué es necesaria la rotación de logs?

Como ya hemos mencionado anteriormente, los archivos de log son útiles para solucionar errores, investigar incidentes de seguridad y evaluar el entorno de TI. Sin una rotación, los logs voluminosos que capturan el tráfico de la red o los eventos de autenticación pueden convertirse rápidamente en un problema.

Espacio en disco

Si no configuras los archivos de log para que se compriman o eliminen, seguirán aumentando de tamaño hasta que el servidor se quede sin espacio. Los servicios esenciales dejarán de funcionar y esto podría causar lagunas en los logs, puesto que la aplicación solo podrá registrar eventos nuevos cuando haya espacio disponible. Si se produce un incidente durante este tiempo, podrías no tener ningún registro del mismo.

Rendimiento

El servidor podría tener problemas de rendimiento incluso si todavía queda espacio en disco. Si la memoria no es suficiente, tardará mucho más en abrir, leer y escribir en archivos grandes (a veces de varios GB). Las operaciones manuales como tail, head o grep pueden llevar más de lo habitual, lo que entorpece la investigación de problemas críticos.

Alertas en tiempo real

Las soluciones de gestión de logs suelen tener dificultades para procesar archivos grandes. Los agentes de registro tardarán más en transmitir los datos a través de la red. El software de gestión de logs necesitará más tiempo para analizar e indexar los datos. Todo esto puede causar retrasos en el envío de alertas en tiempo real. Imagina un caso en el que los logs de autenticación contienen pruebas de un ataque de pulverización de contraseñas. Sin embargo, debido al gran tamaño del archivo, la solución de gestión de eventos e información de seguridad (SIEM) tarda 30 minutos en encontrar el ataque y enviar una alerta. Esta situación estaría muy lejos de ser ideal.

¿Qué debería hacerse con los archivos de log antiguos?

A menos que puedas proporcionar almacenamiento ilimitado para tus servidores, necesitarás una estrategia para gestionar los archivos de log antiguos. Algunas empresas adoptan un enfoque distinto para cada tipo de archivo de log en función de los casos de uso, la importancia y las obligaciones legales.

Eliminación

Lo más sencillo es eliminar los archivos de log. Es fácil de configurar, libera espacio en el servidor y reduce los gastos de almacenamiento. No obstante, como los archivos de log contienen eventos importantes y no sabes cuándo los vas a necesitar, esta opción puede ser arriesgada. Además, podrías perder información importante cuando un evento abarque varios logs. En función del sector y las necesidades de cumplimiento de tu negocio, eliminar los archivos de log antiguos podría no ser una opción.

Compresión

Como parte del proceso de rotación, puedes comprimir los archivos de log y conservar los más antiguos en el servidor. Esto es común en sistemas Linux, donde los archivos de log comprimidos suelen llevar la extensión .gz.

Archivado

Archiva los logs más antiguos en un sistema de almacenamiento independiente para conservarlos a largo plazo. Este sistema podría ser un servidor de respaldo diseñado específicamente como almacenamiento externo (como SAN), almacenamiento en la nube más económico (como AWS S3) o almacenamiento externo en cinta.

Sistema de gestión de logs

La mayoría de operaciones de TI dependen de un sistema central para almacenar todos los logs. Estos sistemas permiten a los usuarios buscar, analizar, correlacionar y visualizar eventos a partir de archivos de log. Resulta mucho más sencillo que procesar manualmente los archivos de log del sistema de archivos. Los sistemas de gestión de logs pueden mostrar tendencias históricas, comparar los estados del sistema y proporcionar alertas en tiempo real para eventos críticos.

Recuerda que la rotación de logs no sustituye el uso de un sistema de gestión de logs. Ambas opciones se complementan. Puedes rotar, archivar o eliminar los archivos de log una vez que el sistema de gestión los haya consumido y almacenado.

Independientemente de dónde envíes los archivos de log antiguos, es importante que los protejas. Esto garantiza que cualquier información confidencial que contengan esté protegida y que los archivos no se puedan alterar.

Descubre la plataforma con IA nativa líder del mundo para SIEM de nueva generación y gestión de logs

Mejora tu ciberseguridad con CrowdStrike Falcon^®, la principal plataforma nativa de IA para SIEM y gestión de logs. Disfruta de un registro de seguridad a escala de petabytes, con opciones de implementación nativas de la nube o de autoalojamiento. Registra tus datos con una arquitectura potente, sin índices y sin cuellos de botella, que hace posible el Threat Hunting con más de 1 PB de ingesta de datos al día. Disfruta de capacidades de búsqueda en tiempo real para superar al adversario y lograr una latencia inferior a un segundo en consultas complejas. Aprovecha una visibilidad integral que consolida los datos para acabar con los silos y permitir a los equipos de seguridad, TI y DevOps detectar amenazas, monitorizar el rendimiento y garantizar el cumplimiento sin problemas en 3 mil millones de eventos en menos de 1 segundo.