Registros del servidor: qué son, cómo y dónde se pueden ver

En el trabajo de un administrador de sistemas, a menudo es necesario ver los registros del servidor (Server Logs), con qué tareas estaba trabajando el servidor en un momento determinado, qué acciones realizaron los usuarios. Las razones de esta necesidad pueden ser diferentes:

• Caída del servidor;
• Revelar la actividad inadvertida;
• Análisis de los procesos de trabajo.

Toda la información necesaria se puede obtener en los registros del servidor, es decir, en los archivos que contienen entradas sobre los diferentes procesos, las acciones de los usuarios, etc. Pero para ello hay que saber dónde se almacenan estos datos y, sobre todo, cómo trabajar con.

¿Qué son los registros del servidor?

En realidad, la palabra «server logs» es una transliteración trillada de la frase «server log», que se traduce como «registro del servidor».

Existen los siguientes tipos de registros:

• Errores – registros que capturan varios fallos en el funcionamiento del servidor, o al acceder a funciones o tareas específicas. Puede utilizarlos para resolver rápidamente diversos errores y fallos;
• Acceso: un registro que recoge la fecha y la hora exactas de la conexión de un usuario concreto, cómo ha llegado al sitio, etc. Permite realizar un trabajo de análisis y encontrar vulnerabilidades en los casos en los que el recurso fue hackeado;
• Otros – Registros del funcionamiento de varios componentes del servidor, como el correo.

Por supuesto, si no observa ningún problema o momento sospechoso relacionado con el trabajo del servidor, no es necesario revisar frecuentemente los registros. Sin embargo, se recomienda revisarlas selectivamente al menos una vez al año.

Por otro lado, si ya ha ocurrido alguna emergencia, por ejemplo, el sitio ha comenzado a producir repentinamente un gran número de errores, ha sufrido un ataque de spam o ha aumentado rápidamente la carga en el servidor, entonces estudiando los registros, entenderá rápidamente cuál es el problema y lo eliminará.

Sin embargo, para la mayoría de los usuarios ordinarios, las entradas en los archivos de registro no son más que un extraño conjunto de caracteres. Por lo tanto, tenemos que entender cómo leerlos correctamente.

¿Cómo leer correctamente los registros del servidor?

En este ejemplo, examinaremos dos tipos de entradas relativas a los registros de acceso y de error, ya que son las entradas a las que más se accede cuando se produce algún tipo de problema.

Entonces, la entrada del registro de acceso, del archivo access.log:

mysite.biz 25.34.94.132 – – – [21/Nov/2017:03:21:08 +0200] «GET /blog/2/ HTTP/1.0» 200 18432 «-» «Unknow Bot (http://www.unknow.com/bot; [email protected])»

Lo que representa:

• mysite.biz – Dominio del sitio que le interesa;
• 34.94.132 – La dirección IP que el usuario utilizó al acceder al sitio;
• [21/Nov/2017:03:21:08 +0200] – la fecha, la hora exacta y la zona horaria del usuario;
• GET – la petición que se envía para recuperar los datos. En el caso de que el usuario transmita datos, la petición será «POST»;
• /blog/2/ – la dirección relativa de la página solicitada;
• HTTP/1.0 – el protocolo utilizado;
• 200 – código de respuesta de la solicitud;
• 18432 – cantidad de datos transferidos en la solicitud, en bytes;
• Unknow Bot (http://www.unknow.com/bot; [email protected]) – datos sobre el robot, o una persona real que visitó el sitio. Si se trata de una persona, se mostrará el sistema operativo, el tipo de dispositivo, etc. En el ejemplo concreto, un robot analizador perteneciente al recurso unknow.com ha visitado el sitio.

Así, hemos tenido conocimiento de que desde la dirección IP 25.34.94.132, el día veintiuno de noviembre de 2017, a las tres horas, veintiún minutos y ocho segundos, un bot perteneciente a otro recurso web visitó nuestra web. Envió una solicitud de datos y recibió 18432 bytes de información.

Ahora es posible bloquear el acceso de los bots desde este sitio, o de todos los que utilizan esta IP, por supuesto, si es necesario.

Los registros de errores se pueden encontrar en el archivo con un nombre destacado – error.log. Tienen el siguiente aspecto:

[Sat 1 Oct 18:23:28.719615 2019] [:error] [pid 10706] [cliente 44.248.44.22:35877]

Aviso de PHP: Variable no definida: moduleclass_sfx en

/var/data/www/mysite.biz/modules/contacts/default.php en la línea 13

¿Qué está escrito aquí?

• La fecha, la hora y el tipo de error, así como la dirección IP que utilizó el visitante;
• El tipo de evento, en este caso, «PHP Notice» (notificación), así como una aclaración de que en este caso, se trata de una variable desconocida;
• La ubicación del archivo de notificación, así como la línea donde se encuentra.

Simplificando, en este caso, tenemos un mensaje de que hubo un error relacionado con el módulo de contacto el día 1 de octubre, a las 18:23, de 2019.

Por supuesto, incluso después de la decodificación, los datos obtenidos no son fáciles de analizar. Por eso, para procesar cómodamente los datos de los registros del servidor, se utiliza un software diferente. Entre estos programas se encuentran: Awstats, Webtrends, WebAlyzer y muchos otros.

Hoy en día existen muchas versiones de pago y gratuitas de programas para procesar y analizar los archivos de registro.

Registros de Windows Server

Los registros del servidor de Windows tienen una salida inherentemente más conveniente y estructurada, en forma de una tabla simple y sencilla.

Hay varios niveles de eventos:

• Detalles;
• Detalles; Información;
• Advertencia;
• Error;
• Crítico.

También hay una opción para filtrar y ordenar rápidamente los registros, en función de los datos que se quieran recuperar.

Registros de SQL Server

Hoy en día, las bases de datos SQL son la forma más común de trabajar con grandes cantidades de información. En primer lugar, los registros del servidor sql, vale la pena examinar si usted no está seguro de que algunos procesos se han completado con éxito. Estos procesos pueden ser:

• Respaldo;
• Recuperación de datos;
• Cambios en la masa;
• Varios scripts y programas de procesamiento de datos.

Para ver los registros, puede utilizar SQL Server Management Studio u otro editor de texto que le resulte conveniente. Los registros se organizan en bitácoras de los siguientes tipos:

• Recogida de datos;
• Correo de la base de datos;
• SQL Server;
• Eventos de Windows;
• Registros de trabajo;
• Recogida de la auditoría;
• SQL Server, Agente.

Para acceder a los registros, debe tener privilegios de «securityadmin».

¿Cómo puedo activar o desactivar el registro del servidor?

Para realizar esta operación, debe entrar en el panel administrativo de su hoster. Como norma, en el menú principal hay una sección «Log», o «Registros», en la que se puede activar o desactivar el registro de datos sobre accesos concedidos, errores, etc.

¿Dónde se encuentran los registros del servidor?

La ubicación de los registros depende principalmente del sistema operativo que esté utilizando.

Los registros del servidor con CentOS, o Fedora, se almacenan en el directorio «/var/log/».

Los nombres de los archivos son:

• Registro de errores – «error.log»;
• El registro de nginx – «nginx»;
• El registro de acceso – «log»;
• El registro principal – «syslog»;
• Registro de arranque del sistema – «dmesg».

Los registros de errores relacionados con MySQL se encuentran en el directorio «/var/lib/mysql/», en el archivo «$hostname.err».

En los sistemas operativos Debian y Ubuntu, los registros del servidor se encuentran en la carpeta «/var/log/», en los archivos:

• Nginx – registro de nginx;
• /mysql/error.log – registro de errores para las bases de datos MySQL;
• Syslog – registro principal;
• Dmesg – carga del sistema, controlador;
• Apache2 – Registro del servidor web Apache.

Como puede ver, todos los sistemas operativos basados en Linux tienen básicamente los mismos registros y directorios del servidor.

Este no es el caso de los registros del servidor de Windows. Si quieres ver los registros, tienes que entrar y pulsar las teclas «Win» y «R» y se abrirá el visor de eventos, donde podrás recoger los registros de interés.

Si quieres ver los registros de PowerShell, tienes que abrir el programa e introducir el comando: «Get-EventLog -Logname ‘System'».

Todos los datos se mostrarán en una práctica tabla.

Un ejemplo de trabajo con los registros del servidor

Imagine que de repente descubre un aumento significativo de la carga en su servidor debido a influencias externas. Los servicios de análisis comienzan a registrar un registro de asistencia, y usted podría estar contento, pero ve que estos «usuarios» no realizan las acciones que se esperan de ellos, no importa lo que sea – el estudio de los contenidos, o las compras en el sitio.

Puede dedicar mucho tiempo a averiguar la razón, o puede simplemente mirar los registros de acceso y comprobar desde qué IP, y quién ha accedido a su sitio, en los intervalos de tiempo seleccionados. Es probable que encuentre un gran número de accesos desde múltiples direcciones IP que se hicieron de forma automática, es decir, su sitio estaba bajo un ataque DDoS.

En este caso, puede bloquear el acceso al sitio desde la IP seleccionada, y posteriormente ampliar esta lista, si es necesario.

Salida

Hasta la fecha, los registros del servidor son una herramienta muy útil que le permite supervisar el sitio, la identificación de errores y fallos, los usuarios maliciosos, para contrarrestar los ataques DDoS.

Para trabajar correctamente con los registros del servidor es necesario conocer su ubicación, ser capaz de estudiar los archivos necesarios, así como entender los diferentes tipos de registros. En la mayoría de los paneles de control, el usuario tiene inmediatamente la posibilidad de activar y desactivar el registro. Además, es posible descargar o ver los registros.

Además, hoy en día existen varias aplicaciones de software que permiten interactuar con la información del registro a través de una interfaz gráfica fácil de usar, descifrándola a gran velocidad y mostrándola de forma sencilla.

Los sistemas basados en Linux suelen tener los archivos de registro más o menos en la misma ubicación, lo que hace que sea muy fácil trabajar con ellos.

Windows Server, tiene su propia interfaz gráfica para leer los registros, que es muy práctica, y le permite obtener rápidamente la información que necesita.