Configuración de eventos en Linux

Por qué y cómo agregar registros de eventos en los sistemas.

La función del administrador de sistemas  es emocionante cuando surgen problemas y puede solucionarlos. Para poder detectar los problemas, los registros son fundamentales.Si tiene varios servidores en su entorno o centro de datos, necesitará herramientas para recopilar los registros. Pero primero, debe comprender los tipos de registro disponibles.

Aquí hay una descripción general de los archivos de registro más importantes. Todos están almacenados en el archivo /var/log de su máquina Linux, según la distribución de linux esta estructura puede cambiar ligeramente, ademas según los servicios desplegados en la maquina afecta a los tipos de logs disponibles en el sistema.

Auth.log:

Todos los eventos relacionados con la autenticación en los servidores Debian y Ubuntu se registran aquí. Si está buscando algo relacionado con el proceso de autorización de usuarios, puede encontrarlo en este archivo de registro.

Messagges:

Este archivo de registro incluye registros de operaciones comunes al dispositivo. Se utiliza principalmente para almacenar mensajes de información y sistemas no críticos.

Daemon.log:

Los registros de Daemon contienen información sobre eventos relacionados con la ejecución de la operación de Linux.

Dpkg.log:

Este archivo documenta todos los eventos de la aplicación para los administradores de programas, como instalaciones o actualizaciones.

Kern.log:

Contiene información registrada por el kernel y es un archivo de registro muy importante.

Mail.log:

Todos los registros relacionados con los servidores de correo se almacenan aquí.

Tratar de ubicar el archivo correcto para solucionar un error puede ser extremadamente difícil, y tratar de comparar problemas entre sistemas puede ser aún más difícil. No hay nada más frustrante que descubrir que la información que necesitaba no estaba registrada en un archivo de registro, o perder el archivo de registro que tenía la información que necesitaba después de reiniciar un servidor.

Centralizar o agregar sus registros en una sola ubicación es una práctica recomendada importante para el registro, especialmente si tiene varios servidores o arquitecturas. Las aplicaciones modernas también tienen múltiples niveles de infraestructura y pueden incluir una combinación de servidores en el sitio y servicios en la nube.

La mayoría de los sistemas Linux utilizan un demonio syslog para centralizar los registros. Syslog recopila archivos de registro de servicios y aplicaciones que se ejecutan en el host, como aprendió en la sección Conceptos básicos de registro de Linux.
Syslog puede escribir registros en un disco o usar el protocolo syslog para reenviarlos a otro servidor. Puede utilizar varias implementaciones de syslogs, incluidas las siguientes:

Rsyslog:

Un demonio muy ligero instalado en las distribuciones de Linux más comunes

Syslog-ng:

El segundo demonio syslog más popular para Linux.

Beats:

Cargadores de datos ligeros. Estos están estrechamente integrados con el Elastic Stack

Fluentd:

Otro agente con capacidades de procesamiento avanzadas. También admite la entrada de syslog mediante el complemento insyslog.

Servidor Rsyslog

Un sistema de procesamiento de registros eficiente, estable y de alto rendimiento que acepta y genera datos de diferentes fuentes (sistemas/aplicaciones) en múltiples formatos.
Ha evolucionado de un demonio syslog estándar a un marco de funciones múltiples para el registro de nivel empresarial.