Un log de acceso es un archivo log que registra todos los eventos relacionados con las aplicaciones cliente y el acceso del usuario a un recurso en un equipo. Entre los ejemplos podemos encontrar logs de acceso al servidor web, logs de comandos FTP o logs de consultas a la base de datos.
La gestión de los logs de acceso es una tarea importante para los administradores del sistema. Los desarrolladores de software, ingenieros de operaciones y analistas de seguridad los utilizan para monitorizar el rendimiento de sus aplicaciones, quién accede a ellas y qué sucede en segundo plano. Los logs de acceso pueden ayudar a los equipos de TI a detectar problemas, amenazas e identificar problemas de capacidad.
Normalmente, los logs de acceso comparten algunos datos, entre ellos:
- La fecha y hora de acceso del cliente
- La dirección IP o el nombre de host del cliente
- El nombre de usuario
- El estado o la importancia del evento
- El éxito o fracaso de la operación
- Los posibles mensajes relevantes
En este artículo, analizaremos por qué son importantes los logs de acceso, los diferentes tipos de logs de acceso y sus ubicaciones, su contenido y los diversos parámetros de configuración asociados.
Tipos de logs de acceso
Podemos clasificar los logs de acceso en tres grandes categorías principales:
- Logs de actividades
- Logs de acceso al servidor
- Logs de errores
Logs de actividades
En los logs de actividades se registran todas las acciones que haya realizado un usuario durante una sesión, entre las que se incluyen ejecutar comandos, visitar URL y acceder a archivos. Entre algunos ejemplos de logs de actividad se incluyen:
- Log de consultas generales de MySQL
- Log de actividades de Azure
- Log de acceso al servidor web Apache
- Logs de auditoría de Active Directory
Logs de acceso al servidor
Los logs de acceso al servidor contienen información sobre las conexiones de los usuarios y sus solicitudes de recursos. A diferencia de los logs de actividades, estos registros no contienen información detallada sobre lo que realmente ha hecho el usuario. Entre algunos ejemplos de logs de acceso al servidor se incluyen:
- lastlog de Linux
- Log de seguridad de Windows
- Log de acceso al servidor bucket S3 de AWS
- Log de acceso a Oracle Directory Server
- Auditorías de inicio de sesión de SQL Server
Logs de errores
Los logs de errores contienen información de diagnóstico sobre los errores detectados durante las sesiones del cliente. Estos logs son útiles para solucionar problemas de aplicaciones y errores del sistema. A continuación, se muestran algunos ejemplos:
- Log de errores de Nginx
- Log de errores del sistema IBM z/Transaction Processing Facility
Para simplificar las cosas, en este artículo nos centraremos en los logs de acceso al servidor web. Normalmente, estos logs contienen los tres tipos de información (acceso del usuario, actividad del usuario y errores de solicitudes).
¿Por qué necesitas recopilar logs de acceso?
Recopilar y analizar los logs de acceso al servidor web resulta útil para los administradores del sistema.
En primer lugar, muestra la disponibilidad y el estado de la aplicación web para solucionar errores de forma más rápida. Por ejemplo, si en el log de acceso se muestra una gran cantidad de errores HTTP 404, significa que los usuarios están intentando acceder a una o varias páginas que no existen o que el sitio está utilizando las URL incorrectas.
Un log de acceso también ayuda a solucionar errores críticos. Por ejemplo, una gran cantidad de errores 5xx indica que el servidor web está detectando errores internos: es probable que parte del sitio esté fallando. Consultar más detenidamente el log de errores del servidor web puede revelar más información.
El marketing digital es otra área útil para los logs de acceso al servidor web. Al utilizar las entradas de logs de acceso, los especialistas en marketing digital pueden identificar áreas del sitio que los usuarios visitan, donde solicitan datos, rellenan formularios, descargan archivos o hacen clic en enlaces. Todo esto puede mejorar la creación de perfiles de usuario precisos y la optimización de motores de búsqueda.
Los ingenieros de SecOps utilizan los logs de acceso al servidor web para encontrar comportamientos o anomalías inusuales. Un ejemplo es un aumento inesperado de solicitudes HTTP GET desde un rango específico de direcciones IP. Esto podría indicar un posible ataque DDoS desde un conjunto de equipos objeto de ataques. Si se supone que un servidor web sólo debe aceptar tráfico HTTP/HTTPS desde un firewall de aplicaciones web, las solicitudes HTTP directas desde otras direcciones IP pueden indicar un posible acceso no autorizado.
¿Qué contiene un log de acceso?
Normalmente, un log de acceso al servidor web contendrá los siguientes datos:
| Fecha y hora | Fecha y hora en que se ha accedido al sitio o a la página, que puede tener formato de fecha UTC o de la hora local del servidor web. |
|---|---|
| IP de origen | Dirección IP de la máquina cliente. |
| IP de destino | Dirección IP del servidor web. |
| FQDN de destino | Nombre de dominio completo del servidor web. |
| Puerto de destino | Puerto solicitado en el servidor web. Normalmente es 80 (predeterminado para HTTP) o 443 (predeterminado para HTTPS), pero puede ser cualquiera según el puerto en el que se ejecute el sitio web. |
| Protocolo | Protocolo de red de acceso del cliente. Un ejemplo habitual es HTTP 1.1. |
| El nombre de usuario | Usuario que accede al sitio web (si es anónimo, esto se indica con un guion). |
| Recurso | Página o elemento solicitado. |
| Método HTTP | Este método de solicitud HTTP (por ejemplo GET, POST, etc.). |
| Código de estado HTTP | Código de estado devuelto por el servidor web (por ejemplo, 200 OK, 404 Página no encontrada, etc.). |
| Consulta de URI | Consulta de aplicación enviada al sitio web como parte de la solicitud HTTP. |
| Origen de referencia HTTP | Dirección IP o URL que ha dirigido al cliente a este sitio web. |
| Agente de usuario HTTP | Tipo y versión del navegador del cliente. |
| Bytes recibidos | Cantidad de bytes que recibe el servidor web del cliente. |
| Bytes enviados | Número de bytes enviados por el servidor web al cliente. |
Para saber qué aspecto tienen estos campos, tengamos en cuenta el siguiente fragmento de un log de acceso al servidor web Apache:
116.35.41.41 - - [21/May/2022:11:22:41 +0000] "GET /aboutus.html HTTP/1.1" 200 6430 "http://34.227.9.153/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.4 Safari/605.1.15"
Aquí, en el log de acceso se muestra una solicitud de cliente procedente de la dirección IP 116.35.41.41 realizada el 21 de mayo de 2022 a las 11:22, hora del servidor local. El cliente ha accedido a la página aboutus.html del directorio raíz del sitio web. El código de estado HTTP ha sido 200 (es decir, la solicitud del cliente se ha realizado correctamente) y la dirección del sitio web de referencia es http://34.227.9.153/. El navegador del usuario ha sido Safari de Apple y el servidor web ha enviado 6430 bytes al cliente cuando ha mostrado la página.
Al agregar dicha información del log de acceso, puedes encontrar estos elementos:
- Número de visitantes concretos por página o páginas específicas por visitante
- Geolocalizaciones de los visitantes del sitio
- Partes de un sitio a las que se accede con más frecuencia
- Consultas de clientes más utilizadas
- Número total de diferentes códigos de estado HTTP
Cómo encontrar los logs de acceso
La ubicación del log de acceso de un servidor web depende del sistema operativo y del propio servidor web.
Por ejemplo, la ubicación predeterminada del log de acceso del servidor web Apache en sistemas basados en RHEL es /var/log/httpd. En sistemas basados en Debian como Ubuntu, la ubicación es /var/log/apache2.
En Nginx, de forma predeterminada, el log de acceso está en el directorio /var/log/nginx en sistemas basados en RHEL y Debian.
La ubicación log de acceso predeterminada de Internet Information Service (IIS) que se ejecute en un servidor Windows es %SystemDrive%inetpublogsLogFilesW3SVC. El valor %SystemDrive% suele ser C: y site_id es el identificador del sitio web alojado en IIS.
Hay diferentes formas en las que los administradores pueden leer los logs de acceso de un servidor web. Un administrador del sitio puede acceder mediante SSH a la consola del servidor web real de sistemas basados en Linux y usar comandos como cat, tail y grep para leer el archivo. A veces, los webmasters pueden tener que usar el panel de control del proveedor de alojamiento (como cpanel) para abrir y leer el log de acceso.
Cómo configurar los logs de acceso
Al igual que la mayoría del resto de configuraciones, puedes definir las propiedades de un log de acceso al servidor web en su archivo de configuración. La ubicación del archivo de configuración principal de un servidor web depende del servidor web en sí y del sistema operativo. A continuación se muestra una lista:
| Servidor web | Sistema operativo | Archivo de configuración principal |
|---|---|---|
| Apache | Basado en RHEL | /etc/httpd/conf/httpd.conf |
| Apache | Basado en Debian | /etc/apache2/apache2.conf |
| Nginx | Basado en RHEL | /etc/nginx/nginx.con |
| Nginx | Basado en Debian | /etc/nginx/nginx.con |
| IIS | Windows Server | %WinDir%System32InetsrvConfigApplicationHost.config |
Algunas de las configuraciones de log de acceso habituales en cualquier servidor web son:
- Ubicación del registro
- Formato de registro
- Nivel de registro
- Rotación de logs
La ubicación de log de acceso puede ser diferente para cada sitio web alojado en el servidor web. Por ejemplo, en Apache, con el siguiente comando se establece la ubicación del log de acceso de todo el servidor:
CustomLog "/var/log/httpd2/access_log" common
Pero esto se puede sustituir en un VirtualHost:
ServerName www.mysite.com
ServerAlias test.com
DocumentRoot /var/www/html/test.com
ErrorLog /var/log/httpd/mysite.com/error_log
CustomLog /var/log/httpd/mysite.com/access_log combined
La configuración del formato del log de acceso especifica los campos que se incluirán en las entradas del log. El formato del log de acceso puede ser common o combined. En el fragmento siguiente se muestra una configuración de muestra:
Formato de log "%h %l %u %t "%r" %>s %b" habitual
Donde:
%hes el nombre del host remoto%les el nombre de log remoto de identd (si se especifica)%ues el ID de usuario del cliente (si está disponible)%tes la marca de tiempo en la que se ha recibido la solicitud%res la primera línea de la solicitud HTTP%>ses el código de estado HTTP que ha devuelto el servidor web%bes el tamaño del recurso devuelto en bytes
Puedes consultar la documentación de Apache para ver cómo utilizar el módulo log personalizado para configurar tu propio formato de log de acceso.
Otras configuraciones del log de acceso de Apache pueden incluir el nivel de log y su rotación. El nivel de log te permite incluir sólo eventos específicos que cumplan un determinado nivel de importancia o uno superior. Estos niveles de importancia pueden ser debug, info, notice, warn, error, crit, alert, emerg y cualquier nivel que se encuentre entre trace1 y trace8. Cuanto más bajo sea el nivel de log, más detalladas serán las entradas del log. En el fragmento siguiente, configuramos el log de acceso para registrar sólo mensajes de nivel de advertencia y superiores:
LogLevel warn
Esto se puede sustituir en el caso de hosts virtuales de Apache.
Puedes configurar la rotación de logs de Apache con la utilidad logrotate de Linux o con el programa rotatelog de Apache.
Descubre la plataforma con IA nativa líder del mundo para SIEM de nueva generación y gestión de logs
Mejora tu ciberseguridad con la plataforma CrowdStrike Falcon®, la principal plataforma nativa de IA para SIEM y gestión de logs. Disfruta de registro de seguridad con petabytes, optando entre opciones de implementación nativas de la nube o de autoalojamiento. Registra tus datos con una arquitectura potente y sin índices, sin cuellos de botella, lo que permite el Threat Hunting con más de 1 PB de ingesta de datos al día. Permite funciones de búsqueda en tiempo real para dejar atrás al adversario y lograr una latencia inferior a un segundo en consultas complejas. Benefíciate de una visibilidad total, consolidando datos para acabar con los silos y permitiendo que los equipos de seguridad, TI y DevOps detecten amenazas, monitoricen el rendimiento y garanticen el cumplimiento sin problemas en 3 mil millones de eventos en menos de 1 segundo.
Arfan Sharif ocupa el cargo de Product Marketing Lead para la cartera de observabilidad en CrowdStrike. Ha dedicado más de 15 años al fomento de soluciones de gestión de logs, ITOps, observabilidad, seguridad y experiencia del cliente en empresas como Splunk, Genesys y Quest Software. Arfan se graduó en informática en la Universidad de Bucks and Chilterns y ha dedicado su carrera profesional al marketing de productos y la ingeniería de ventas.
