¿Qué es un log de aplicación?

El software del equipo suele registrar información en los logs de aplicaciones cuando se produce un evento. Algunos ejemplos pueden ser un servidor web que registra una transferencia de datos, una instancia de base de datos que registra la finalización exitosa de una copia de seguridad o un firewall que registra solicitudes de conexión con fallos.

Los equipos de TI suelen utilizar los datos de logs de aplicaciones para saber el motivo de las interrupciones, solucionar errores o analizar incidentes de seguridad. El análisis de los logs de aplicaciones puede ayudar a los equipos de TI a determinar la causa raíz de los incidentes.

A medida que más sistemas de gestión de logs entran en el mercado, las empresas utilizan los logs de aplicaciones para algunos otros procesos distintos al de solución de problemas. Utilizan eventos de registro para investigar la causa de incidentes de seguridad, rastrear el comportamiento de los clientes, planificar la capacidad del sistema y auditar el cumplimiento de las normativas.

En este artículo, veremos qué es un log de aplicación, los diferentes tipos de logs de aplicación y cómo una herramienta de gestión de logs centralizada puede ser útil para extraer información comercial útil de esos registros. También te presentaremos Humio, una moderna solución de gestión de logs.

¿Qué es un log de aplicación?

Las aplicaciones de software generan logs cuando se produce algo en (o que afecta a) la aplicación. Normalmente, las aplicaciones escriben la información de log relevante en un archivo del servidor de la aplicación. Para ahorrar espacio en disco, algunas organizaciones configuran aplicaciones para enviar sus logs a un recurso compartido de red, a un servidor Syslog dedicado o a una aplicación de registro a través de un webhook. Las aplicaciones basadas en la nube pueden escribir sus logs en el servicio de registro de la nube.

Algunos eventos de logs están relacionados con los estados internos de la aplicación. Entre algunos de los ejemplos se incluyen:

• Fugas de memoria
• Errores de rutas no existentes
• Excepciones no controladas en el código
• Un fallo del sistema

Otros tipos de eventos relacionados con factores externos que la aplicación reconoce. Entre algunos de los ejemplos se incluyen:

• Advertencias sobre el espacio en disco
• Reinicios del servidor
• Pérdida de acceso a la red

Cada aplicación es diferente, por lo que el registro de eventos dependerá de cómo los desarrolladores lo hayan configurado para registrar eventos. Generalmente, los eventos críticos, como errores o advertencias, se registran de forma predeterminada. Sin embargo, también podrías ver eventos relacionados con operaciones correctas, como data transfer complete, backup successful o shutting down gracefully.

Algunos campos habituales están presentes en la mayoría de los logs de aplicaciones:

• Marca de tiempo: fecha y hora del evento, que puede mostrarse en la hora local del servidor o en otra zona horaria como UTC.
• Nivel de log: gravedad del evento. Algunos ejemplos de niveles de log incluyen DEBUG, INFO, WARNING y CRITICAL.
• Nombre de usuario: usuario de la red (o que ha iniciado sesión) encargado del evento. En el caso de algunos eventos relacionados con el sistema, este campo estará en blanco.
• IP de origen: dirección IP del cliente (usuario o proceso de aplicación). En el caso de eventos locales, este campo puede estar vacío.
• IP de destino: dirección IP del servidor local.
• Mensaje del evento: descripción del evento, generalmente en formato de texto breve.

Tipos de logs de aplicaciones

Dependiendo de los eventos registrados, puede haber diferentes tipos de logs de aplicaciones.

Logs de acceso, de autenticación y de autorización

En estos logs se muestra:

• Quién ha iniciado sesión (y cerrado sesión)
• Si la operación se ha realizado correctamente
• Quién ha accedido a los recursos de la aplicación, como archivos o tablas de bases de datos
• Quién ha solicitado los datos
• En qué sitios de la red han estado

Estos logs son útiles para volver a rastrear las acciones de un usuario en la red. Puedes utilizarlos para solucionar problemas de acceso, investigar sobre incidentes de seguridad o incluso analizar el comportamiento de los usuarios.

En el fragmento siguiente se muestra un log de acceso de Apache:

127.0.0.1 - jbloggs [12/Oct/2021:13:55:36 -0700] "GET /server-status HTTP/1.1" 404 2457

Aquí, en el evento de registro se muestra que el usuario jbloggs ha accedido al servidor web local el 12 de octubre de 2021, a las 13:55, hora del servidor local. El usuario ha accedido a la página server-status de la raíz del servidor web, pero el servidor web ha devuelto un error 404 (página no encontrada). Se han transferido 2457 bytes.

Logs de cambios

En los logs de cambios se muestran los cambios realizados en la aplicación. Entre algunos ejemplos de cambios se incluyen:

• Añadir nuevos usuarios
• Cambiar permisos
• Lista blanca de direcciones IP
• Cambiar parámetros de configuración
• Actualizar versiones de software

Cuando parte de una aplicación deja de funcionar, una de las posibles causas raíz puede ser un cambio de configuración realizado recientemente. Los logs de cambios permiten identificar lo que ha cambiado, cuándo se ha cambiado y quién ha hecho el cambio. Esta información puede ayudarte a resolver el problema rápidamente.

El equipo de SecOps también puede utilizar logs de cambios para detectar incidentes de seguridad. Por ejemplo, este equipo puede configurar alertas al crear nuevos usuarios con privilegios o registrar una nueva biblioteca de software.

En el evento siguiente se muestra que el administrador de Active Directory ha creado un nuevo usuario.

A user account was created.
Asunto:
Security ID:  DOMAIN-FRadministrator
Account Name:  administrator
Account Domain:  DOMAIN-FR
Logon ID:  0x20f9d
New Account:
Security ID:  DOMAIN-FRJohn.Bloggs
Account Name:  John.Bloggs
Account Domain:  DOMAIN-FR

Logs de errores

En los logs de errores se proporcionan más detalles sobre las operaciones con fallos en la aplicación. Algunos errores no provocan un empeoramiento del rendimiento; sin embargo, si no se resuelven, pueden generar una interrupción del servicio. Monitorizar los logs de errores puede ayudar a identificar problemas antes de que se conviertan en incidentes, reduciendo así el tiempo medio de recuperación (MTTR). En el análisis histórico se pueden resaltar patrones de rendimiento o comportamiento del usuario que generan condiciones de error.

Por ejemplo, si los usuarios reciben constantemente errores de tiempo de espera, esto puede indicar latencias de red, problemas de capacidad o umbrales de tiempo de espera mal configurados. Los errores de las bibliotecas de aplicaciones pueden indicar un problema de incompatibilidad después de una actualización o una versión de biblioteca no compatible.

Cuando en los logs de errores se muestran excepciones no controladas en la aplicación, esta información puede ayudar a los desarrolladores a mejorar el sistema con un parche.

Los errores de aplicación se pueden producir por muchos motivos y es por ese motivo que los eventos del log de errores pueden variar mucho. Entre algunos de errores de registro habituales se incluyen:

• Advertencias sobre el espacio en disco
• Vencimiento inminente de la licencia
• Bloqueos de la aplicación
• Agotamiento de la memoria
• Volcados de memoria
• ...entre otros muchos.

En el fragmento de código siguiente se muestra uno de esos eventos de error que se han generado debido a espacio insuficiente en disco.

"EventTime": "2022-06-22T13:48:55.445645-08:00",
"Hostname": "WIN-26101992",
"Message": "There is not enough disk space available to complete this operation",
"Severity": "CRITICAL"

Logs de disponibilidad

En los logs de disponibilidad se muestra información sobre la disponibilidad de tu aplicación. Entre algunos ejemplos de logs de disponibilidad se incluyen:

• Logs del clúster donde se muestran conmutaciones por error o la adición o eliminación de nodos
• Logs del sistema donde se muestran copias de seguridad de datos realizadas correctamente
• Logs del sistema operativo donde se muestran los apagados y reinicios
• Logs de replicación donde se muestran latencias

Los logs de disponibilidad son útiles para crear informes de SLA. Puedes calcular el tiempo de actividad de la aplicación, saber los motivos de los apagados o de las conmutaciones por error no planificados, o bien confirmar el comportamiento esperado durante las ventanas de mantenimiento. En el siguiente fragmento se muestra un ejemplo de una entrada del log de disponibilidad:

"EventTime": "2022-06-22T13:48:55.445645-08:00",
"Hostname": "WIN-12101992",
"Uptime": "72000",
"LastReboot": "2022-06-21T17:48:55.487655-08:00"
"Severity": "INFO"

Ventajas de utilizar soluciones de gestión de logs

Analizar los logs de aplicaciones directamente en el sistema host puede suponer un desafío. Estos logs suelen ser detallados, complejos y difíciles de correlacionar. Además, algunos logs no paran de actualizarse, por lo que realizar un rastreo de todos los mensajes puede resultar engorroso. Finalmente, las aplicaciones distribuidas tienen muchas partes independientes y cada una de ellas tiene su propio log. Correlacionar todos los logs de un evento específico puede ser como buscar una aguja en un pajar.

Aquí es donde las soluciones de gestión de logs pueden ser útiles. Una solución de gestión de logs recopila logs de aplicaciones de todos tus sistemas, analiza e indexa esos logs y, a continuación, te permite realizar búsquedas en los datos. Esto supone varias ventajas.

Solución de problemas más rápida

Las soluciones de gestión de logs facilitan y agilizan la solución de incidentes porque se puede acceder a todos los logs desde una interfaz en la que es fácil desplazarse. Los operadores no necesitan conectarse a cada uno de los servidores ni utilizar comandos como tail y grep para filtrar los resultados.

Acceso a información relevante

Puedes utilizar configuraciones de análisis de logs personalizadas para extraer sólo datos relevantes de los logs de la aplicación. Esto puede ayudar a limitar los datos que devuelven las consultas y simplificar los paneles y gráficos.

Análisis histórico

Las soluciones de gestión de logs te permiten conservar más datos durante más tiempo del que es posible almacenar en un sólo servidor o en un recurso compartido de la red. Como resultado, puedes realizar un análisis histórico optimizado de los datos de la aplicación. Estos análisis resultan útiles para generar informes sobre tendencias.

Correlación de logs

Las soluciones de gestión de logs incluyen analizadores que reconocen tipos de log comunes. Esto facilita la recopilación de logs de diferentes aplicaciones y su correlación mediante campos comunes como el nombre de usuario o la dirección IP. Correlacionar eventos aparentemente no relacionados puede crear un contexto en torno a eventos que, de no ser así, pasaría desapercibidos.

Visualización

Los paneles con gráficos, cuadros o mapas de geolocalización facilitan la detección de tendencias, anomalías o picos en las aplicaciones.

Alertas

Las soluciones de gestión de logs te permiten configurar alertas basadas en criterios predefinidos. Estos criterios incluyen umbrales establecidos para el valor de un campo concreto. Las alertas se activan cuando los eventos de registro muestran que el valor del campo ha superado el umbral, enviando notificaciones a los equipos pertinentes.

Por ejemplo, puedes configurar alertas para errores fatales o críticos, actividades de inicio de sesión sospechosas o uso elevado de la CPU. Algunas soluciones de registro pueden activar una acción automáticamente, como crear un ticket de servicio de ayuda o llevar a cabo pasos de solución automatizados de un manual.

Descubre la plataforma con IA nativa líder del mundo para SIEM de nueva generación y gestión de logs

Mejora tu ciberseguridad con la plataforma CrowdStrike Falcon^®, la principal plataforma nativa de IA para SIEM y gestión de logs. Disfruta de registro de seguridad con petabytes, optando entre opciones de implementación nativas de la nube o de autoalojamiento. Registra tus datos con una arquitectura potente y sin índices, sin cuellos de botella, lo que permite el Threat Hunting con más de 1 PB de ingesta de datos al día. Disfruta de capacidades de búsqueda en tiempo real para superar al adversario y lograr una latencia inferior a un segundo en consultas complejas. Aprovecha una visibilidad integral que consolida los datos para acabar con los silos y permitir a los equipos de seguridad, TI y DevOps detectar amenazas, monitorizar el rendimiento y garantizar el cumplimiento sin problemas en 3 mil millones de eventos en menos de 1 segundo.