7.3.2.5 Lab - Reading Server Logs
7.3.2.5 Lab - Reading Server Logs
Objetivos
Parte 1: Leer archivos de registro con Cat, More y Less
Parte 2: Archivos de registro y Syslog
Parte 3: Archivos de registro y Journalctl
Antecedentes / Escenario
Los archivos de registro son una herramienta importante para la solución de problemas y el monitoreo. Cada
aplicación genera archivos de registro diferentes, y cada uno contiene su propio conjunto de campos e
información. Si bien la estructura de los campos puede variar de un archivo de registro a otro, las
herramientas que se utilizan para leerlos son mayormente las mismas. En esta práctica de laboratorio
practicarán para aprender a utilizar herramientas comunes que se emplean para leer archivos de registro.
Recursos necesarios
Máquina virtual CyberOps Workstation
Acceso a Internet
© Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 1 de 8 www.netacad.com
Práctica de laboratorio: Leer archivos de registro
texto y mostrar su contenido en la pantalla. La principal diferencia entre cat y more es que more admite
saltos de páginas y eso permite que el usuario vea el contenido de un archivo una página por vez. Esto
se puede hacer utilizando la barra espaciadora para mostrar la página siguiente.
c. En la misma ventana del terminal, utilicen el siguiente comando para volver a mostrar el contenido del
archivo logstash-tutorial.log. Esta vez con more:
analyst@secOps ~$ more /home/analyst/lab.support.files/logstash-tutorial.log
El contenido del archivo debería desplazarse por la ventana del terminal y detenerse al llegar a una
página en pantalla. Presionen la barra espaciadora para avanzar a la página siguiente. ¿Presionen Intro
para mostrar la siguiente línea de texto?
Indicar la desventaja de utilizar more.
El salto de pagina permite analizar la información de forma mas ordenada, pero more no soporte saltos
de línea por lo que en archivos grandes la información sigue siendo difícil de analizar.
Sobre la base de la funcionalidad de cat y more, la herramienta less permite mostrar el contenido de un
archivo página por página y, a la vez, permite que el usuario opte por visualizar páginas ya mostradas en
pantalla.
d. En la misma ventana del terminal, utilicen less para volver a mostrar el contenido del archivo logstash-
tutorial.log:
analyst@secOps ~$ less /home/analyst/lab.support.files/logstash-tutorial.log
El contenido del archivo debería desplazarse por la ventana del terminal y detenerse al llegar a una
página en pantalla. Presionen la barra espaciadora para avanzar a la página siguiente. Presionen Intro
para mostrar la siguiente línea de texto? Utilicen las teclas de las flechas hacia arriba y hacia abajo para
avanzar y retroceder por el archivo de texto.
Presionen la tecla “q” del teclado para salir de la herramienta less.
e. El comando tail muestra el final de un archivo de texto. De manera predeterminada, tail muestra las
últimas diez líneas del archivo.
Utilicen tail para mostrar las últimas diez líneas del archivo /home/analyst/lab.support.files/logstash-
tutorial.log.
analyst@secOps ~$ tail /home/analyst/lab.support.files/logstash-tutorial.log
218.30.103.62 - - [04/Jan/2015:05:28:43 +0000] "GET /blog/geekery/xvfb-firefox.html
HTTP/1.1" 200 10975 "-" "Sogou web
spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
218.30.103.62 - - [04/Jan/2015:05:29:06 +0000] "GET /blog/geekery/puppet-facts-into-
mcollective.html HTTP/1.1" 200 9872 "-" "Sogou web
spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
198.46.149.143 - - [04/Jan/2015:05:29:13 +0000] "GET /blog/geekery/disabling-battery-
in-ubuntu-vms.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed
%3A+semicomplete%2Fmain+%28semicomplete.com+-+Jordan+Sissel%29 HTTP/1.1" 200 9316 "-"
"Tiny Tiny RSS/1.11 (http://tt-rss.org/)"
198.46.149.143 - - [04/Jan/2015:05:29:13 +0000] "GET /blog/geekery/solving-good-or-
bad-problems.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed
%3A+semicomplete%2Fmain+%28semicomplete.com+-+Jordan+Sissel%29 HTTP/1.1" 200 10756 "-"
"Tiny Tiny RSS/1.11 (http://tt-rss.org/)"
218.30.103.62 - - [04/Jan/2015:05:29:26 +0000] "GET /blog/geekery/jquery-interface-
puffer.html%20target= HTTP/1.1" 200 202 "-" "Sogou web
spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
218.30.103.62 - - [04/Jan/2015:05:29:48 +0000] "GET /blog/geekery/ec2-reserved-vs-
ondemand.html HTTP/1.1" 200 11834 "-" "Sogou web
spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
66.249.73.135 - - [04/Jan/2015:05:30:06 +0000] "GET /blog/web/firefox-scrolling-
fix.html HTTP/1.1" 200 8956 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X)
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 2 de 8 www.netacad.com
Práctica de laboratorio: Leer archivos de registro
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 3 de 8 www.netacad.com
Práctica de laboratorio: Leer archivos de registro
b. Abran una segunda ventana del terminal para ver tail –f en acción. Organicen la pantalla de modo que
puedan ver ambas ventanas del terminal. Cambien el tamaño de las ventanas para poder verlas a la vez,
tal como se muestra en la siguiente imagen:
En la ventana del terminal de arriba se está ejecutando tail -f para monitorear el archivo
/home/analyst/lab.support.files/logstash-tutorial.log. Utilicen la ventana del terminal de abajo para
agregar información al archivo monitoreado.
Para simplificar la visualización, seleccionen la ventana del terminal de arriba (donde se está ejecutando
tail -f) y presionen Intro un par de veces. Con esto se agregarán algunas líneas entre el contenido actual
del archivo y la información nueva que se debe sumar.
c. Seleccionen la ventana del terminal de abajo e introduzcan el siguiente comando:
[analyst@secOps ~]$ echo "this is a new entry to the monitored log file" >>
lab.support.files/logstash-tutorial.log
El comando anterior anexa el mensaje "this is a new entry to the monitored log file" ("esta es una entrada
nueva que se agrega al archivo de registro monitoreado") al archivo
/home/analyst/lab.support.files/logstash-tutorial.log. Como tail –f está monitoreando el archivo en
ese momento, se agregar una línea al archivo. En la ventana de arriba debería aparecer la línea nueva
en tiempo real.
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 4 de 8 www.netacad.com
Práctica de laboratorio: Leer archivos de registro
d. Presionen CTRL + C para detener la ejecución de tail -f y regresar al cursor del shell.
e. Cierren una de las dos ventanas del terminal.
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 5 de 8 www.netacad.com
Práctica de laboratorio: Leer archivos de registro
Feb 7 15:02:19 secOps kernel: [ 5949.556153] pcnet32 0000:00:03.0 enp0s3: link up,
100Mbps, full-duplex
¿Pueden pensar en algún motivo por el cual es importante mantener sincronizadas la fecha y la hora de
las computadoras?
Los registro usan la fecha y hora del sistema para almacenar los registros de forma ordenada, además al
momento de hacer un seguimiento de los registros la fecha y hora son muy importantes para identificar
eventos, si estos datos no están sincronizados no será posible identificar el momento en el cual ocurrió
un evento o acción.
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 6 de 8 www.netacad.com
Práctica de laboratorio: Leer archivos de registro
analyst@secOps ~$ journalctl
-- Logs begin at Fri 2014-09-26 14:13:12 EDT, end at Tue 2017-02-07 13:23:29 ES
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Starting Paths.
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Reached target Paths.
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Starting Timers.
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Reached target Timers.
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Starting Sockets.
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Reached target Sockets.
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Starting Basic System.
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Reached target Basic System.
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Starting Default.
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Reached target Default.
Sep 26 14:13:12 dataAnalyzer systemd[1087]: Startup finished in 18ms.
Sep 26 14:14:24 dataAnalyzer systemd[1087]: Stopping Default.
Sep 26 14:14:24 dataAnalyzer systemd[1087]: Stopped target Default.
Sep 26 14:14:24 dataAnalyzer systemd[1087]: Stopping Basic System.
Sep 26 14:14:24 dataAnalyzer systemd[1087]: Stopped target Basic System.
Sep 26 14:14:24 dataAnalyzer systemd[1087]: Stopping Paths.
Sep 26 14:14:24 dataAnalyzer systemd[1087]: Stopped target Paths.
Sep 26 14:14:24 dataAnalyzer systemd[1087]: Stopping Timers.
Sep 26 14:14:24 dataAnalyzer systemd[1087]: Stopped target Timers.
Sep 26 14:14:24 dataAnalyzer systemd[1087]: Stopping Sockets.
<output omitted>
Nota: Si se ejecuta journalctl como usuario root se mostrará información más detallada.
b. Presionen CTRL+C para salir de la pantalla.
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 7 de 8 www.netacad.com
Práctica de laboratorio: Leer archivos de registro
c. Utilice journalctl para especificar el servicio y el período para las entradas de registro. El siguiente
comando muestra todos los archivos de registro de nginx que se registraron hoy:
analyst@secOps ~$ sudo journalctl -u nginx.service --since today
d. Utilicen el switch -k para mostrar solo mensajes generados por el kernel:
analyst@secOps ~$ sudo journalctl –k
e. En forma similar a lo que sucede con tail -f antes descrito, utilicen el switch -f parea seguir los archivos
de registro en forma activa a medida que se los escribe:
analyst@secOps ~$ sudo journalctl –f
Reflexión
Comparen Syslog con Journald. ¿Cuáles son las ventajas y desventajas de cada uno?
Los registros en Syslog son almacenados en archivos de texto plano sin estructura por lo que se puede
hacer difícil identificar un registro deseado, además el sistema requiere crear diversos archivos para evitar
que se hagan muy largos lo que genera que la información no este centralizada por otro lado, Journald
almacena la información en archivos especiales de registro esto hace que al momento de identificar un
registro se haga más fácil encontrarlo, además que tiene complementos a los comandos que son una
herramienta muy útil para realizar un seguimiento.
Conclusiones
La información brindada en el laboratorio permitió identificar las diferentes características de los programas
para abrir registros además de la importancia que tienen los registros al momento de analizar un evento en
un sistema, además también se evidencio la importancia de mantener sincronizada la hora y fecha de un
sistema para realizar un seguimiento con precisión, también se identifico la diferencia entre los archivos de
registro Syslog y archivos de registro y Journalctl sus características, ventajas y desventajas.
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 8 de 8 www.netacad.com