O que é rotação de log?

O volume de dados gerados nos sistemas modernos cresceu exponencialmente nos últimos anos, e os arquivos de log representam uma parte significativa desse crescimento. Os componentes que geram logs incluem:

• Servidores
• Dispositivos de rede
• Sistemas operacionais
• Aplicações de software
• Serviços de nuvem
• … E muito mais.

As empresas coletam e armazenam logs para ajudar solucionar incidentes, encontrar a causa-raiz de problemas de desempenho, investigar ataques de segurança ou cumprir requisitos de conformidade.

No entanto, os logs podem consumir um considerável espaço em disco. O tamanho de arquivos de log individuais pode sair do controle, e o espaço disponível em disco pode se esgotar. Sem os controles apropriados, o sistema apresentará problemas de desempenho.

Esse é o propósito da rotação de log: uma forma controlada de remover ou arquivar logs mais antigos para dar espaço a novos logs.

Este artigo aborda os princípios básicos da rotação de log: por que ela é importante e o que você pode fazer com seus arquivos de log mais antigos. Também conheceremos brevemente o Falcon LogScale: um moderno sistema de gerenciamento de log baseado na nuvem.

O que é rotação de log?

Rotação de log é o processo de controlar o tamanho dos arquivos de log. Quando um arquivo de log existente alcança um determinado limite — geralmente o tamanho máximo do arquivo, idade ou número de registros — a aplicação associada renomeará esse arquivo, criará um novo arquivo com o nome original e continuará gravando eventos no novo arquivo. A aplicação pode compactar o arquivo de log mais antigo, arquivá-lo ou até mesmo exclui-lo. A rotação de log é um processo rápido e automatizado que leva segundos, e algumas aplicações executam um thread dedicado para ela.

Um estilo de nomenclatura comum na rotação de log é anexar o carimbo de data/hora da rotação ao nome do arquivo mais antigo. Por exemplo, se o nome do arquivo de log for mylogfile.log, o nome do arquivo de log rotacionado será mylogfile_xxxxxxxx.log (em que xxxxxxxx é uma data ou um carimbo de data/hora), e o arquivo recém-criado terá o nome mylogfile.log. A pasta do arquivo de log resultante pode mostrar entradas como esta:

mylogfile.log
mylogfile_20220429.log
mylogfile_20220430.log
…
…

Às vezes, sufixos são anexados aos nomes de arquivos de log mais antigos, em vez de carimbos de data/hora. Por exemplo, o nome do arquivo de log do SQL Server é ERRORLOG, e os arquivos mais antigos terão o nome ERRORLOG.1, ERRORLOG.2, ERRORLOG.3, e assim por diante; quanto maior o número, mais antigo o arquivo.

Geralmente, é possível controlar as configurações da rotação de log definindo determinados critérios para a aplicação ou o sistema operacional. Assim que as configurações forem salvas, a rotação de log será acionada quando esses critérios forem atendidos. Você também pode optar por desativar a rotação de logs em determinados casos, mas essa medida deve ser apenas temporária. Algumas aplicações permitem definir os nomes do arquivo de log, especificar onde eles devem ser salvos e até mesmo desabilitar completamente o registro em log.

Às vezes, é necessário manter logs mais antigos localmente, pois os eventos da aplicação podem abranger vários arquivos rotacionados. Você pode compactar os arquivos mais antigos para economizar espaço no servidor ou configurá-los para serem removidos após um período especificado. Você pode movê-los para dispositivos de armazenamento, servidores de backup, mídias de armazenamento de objetos na nuvem, como S3, ou um sistema de gerenciamento de log para retenção de mais longo prazo.

Por que você precisa da rotação de log?

Como mencionamos, os arquivos de log podem ser úteis para solucionar erros, investigar incidentes de segurança e avaliar seu ambiente de TI. No entanto, sem a rotação de log, logs ruidosos capturando tráfego de rede ou eventos de autenticação podem rapidamente se tornar um problema.

Espaço em disco

Se os arquivos de log não forem configurados para serem compactados ou excluídos, eles crescerão até que o servidor fique sem espaço em disco. Serviços críticos pararão de funcionar e isso pode causar lacunas nos logs, pois a aplicação só é capaz de gravar novos eventos quando há espaço disponível. Caso ocorra um incidente durante esse período, você corre o risco de não ter nenhum registro dele.

Desempenho

Mesmo que ainda haja espaço em disco, seu servidor ainda pode ter problemas de desempenho. Se não houver memória suficiente, a abertura, leitura e gravação em arquivos grandes (às vezes com tamanho em gigabytes) demorará significativamente mais. Operações manuais como tail, head ou grep podem ser demoradas, e isso não é o ideal quando se está investigando um problema crítico.

Alertas em tempo real

As soluções de gerenciamento de log costumam ter dificuldade de processar grandes arquivos de log. Os agentes de registro em log levarão mais tempo para transmitir os dados pela rede. O software de gerenciamento de log demorará mais para executar parse e indexar os dados. Tudo isso pode atrasar os alertas em tempo real. Por exemplo, podemos imaginar um cenário no qual os logs de autenticação contêm evidências de um ataque de password spraying. Devido ao tamanho grande do arquivo, no entanto, a solução de gerenciamento e correlação de eventos de segurança (SIEM) leva 30 minutos para detectar o ataque e acionar um alerta. Obviamente, essa não seria uma situação ideal.

O que deve ser feito com os arquivos de log mais antigos?

A menos que você possa fornecer armazenamento ilimitado para seus servidores, você precisará de uma estratégia para lidar com arquivos de log mais antigos. Algumas empresas adotam diferentes abordagens para diferentes tipos de arquivos de log, dependendo de seus casos de uso, importância e obrigações legais.

Exclusão

A coisa mais fácil a se fazer com arquivos de log rotacionados é exclui-los. Isso é fácil de configurar, libera espaço no servidor e reduz custos de armazenamento. No entanto, como os arquivos de log costumam conter eventos importantes, e você nem sempre sabe quando precisará deles, isso pode ser arriscado. Além disso, você pode perder informações importantes quando um evento abrange vários arquivos de log. Dependendo do setor da sua empresa e das necessidades de conformidade dela, excluir arquivos de log antigos pode não ser uma opção.

Compactação

Você pode compactar arquivos de log como parte do processo de rotação e manter os arquivos mais antigos no servidor. Isso é comum em sistemas Linux, e os arquivos de log compactados geralmente têm extensões .gz.

Arquivamento

O arquivamento salva os logs mais antigos em um sistema de armazenamento separado para retenção no longo prazo. Isso pode ser um servidor de backup desenvolvido com fins específicos para armazenamento externo (como SAN), um armazenamento em nuvem mais barato (como AWS S3) ou um armazenamento remoto em fita.

Sistema de gerenciamento de log

A maioria das operações de TI dependem de um sistema central para armazenar todos os seus logs. Esses sistemas permitem que os usuários pesquisem, analise, correlacionem e visualizem eventos dos arquivos de log. Isso é muito mais simples do que processar manualmente arquivos de log do sistema de arquivos. Os sistemas de gerenciamento de log podem mostrar tendências históricas, comparar estados do sistema e gerar alertas em tempo real para eventos críticos.

Lembre-se de que a rotação de log não substitui um sistema de gerenciamento de log. Uma solução complementa a outra. Você pode rotacionar, arquivar ou remover arquivos de log após eles serem consumidos e armazenados pelo sistema de gerenciamento de log.

Independentemente do destino para onde você envia os arquivos de log mais antigos, eles precisam ser protegidos. Isso garante a proteção de qualquer informação confidencial contida nos arquivos de log e impede a adulteração dos arquivos.

Descubra a plataforma nativa de IA líder global para SIEM e gerenciamento de log de última geração

Eleve sua cibersegurança com o CrowdStrike Falcon^®, a principal plataforma nativa de IA para SIEM e gerenciamento de log. Experimente registro de log de segurança em uma escala de petabytes, optando por nativo em nuvem ou implementação auto-hospedada. Registre seus dados com uma arquitetura avançada e livre de índices, sem gargalos e que permite investigação de ameaças com mais de 1 PB de ingestão de dados por dia. Assegure capacidades de pesquisa em tempo real para superar os adversários, atingindo latência de menos de um segundo para consultas complexas. Aproveite uma visibilidade completa, consolidando os dados para quebrar silos e possibilitar que as equipes de segurança, TI e DevOps investiguem ameaças, monitorem o desempenho e garantam a conformidade perfeitamente em 3 bilhões de eventos e em menos de um segundo.