Introducción

Hola Fronters 👋

Bienvenidos a la quinta entrega de nuestra serie sobre monitorización de recursos de hardware en Linux. Hasta ahora hemos cubierto CPU, memoria RAM, red, disco y rendimiento general. Pero hay una fuente de información que ningún sysadmin puede ignorar: los logs del sistema.

Los logs son el diario de a bordo de tu servidor. Cada proceso, cada servicio, cada intento de conexión, cada error y cada advertencia quedan registrados en algún lado. Saber leerlos, filtrarlos y configurarlos es lo que separa a un administrador reactivo de uno proactivo.

En este artículo vamos a profundizar en journalctl, los archivos clásicos de /var/log/, dmesg, logrotate, rsyslog, logwatch y cómo analizar logs de autenticación, sistema y kernel.

1. systemd-journald y journalctl

En las distribuciones modernas con systemd, el sistema de logs por defecto es journald. Toda la información estructurada de servicios, kernel y aplicaciones se almacena en el journal binario.

Comandos básicos de journalctl

Configuración de journald

El archivo de configuración principal es /etc/systemd/journald.conf. Algunos parámetros clave:

Después de modificar: sudo systemctl restart systemd-journald

2. Los archivos clásicos de /var/log/

Aunque systemd es el estándar moderno, los archivos de texto plano en /var/log/ siguen siendo fundamentales, especialmente en servidores sin systemd o con configuraciones híbridas.

Analizar auth.log como un profesional

3. dmesg: Los mensajes del kernel

dmesg muestra los mensajes del buffer del kernel, ideal para diagnosticar problemas de hardware, drivers, discos y dispositivos USB.

4. logrotate: Rotación inteligente de logs

Los logs crecen sin control si no los rotamos. logrotate se encarga de comprimir, rotar y eliminar logs antiguos automáticamente.

Configuración global: /etc/logrotate.conf

Configuraciones por servicio en /etc/logrotate.d/:

5. rsyslog: El motor de logs clásico

rsyslog es el servicio tradicional de logging, reemplazado en parte por journald pero aún muy presente. Su configuración está en /etc/rsyslog.conf y /etc/rsyslog.d/.

Reenviar logs a un servidor central

6. logwatch: Reportes automáticos de logs

logwatch analiza los logs y genera reportes resumidos por correo o consola. Ideal para revisión diaria.

7. Filtrado avanzado con combinaciones

La verdadera potencia está en combinar herramientas:

Conclusión

Los logs son la memoria del sistema. Saber leer journalctl, navegar /var/log/, interpretar dmesg, configurar logrotate y rsyslog, y usar logwatch para reportes automáticos te da una ventaja enorme como administrador.

No esperes a que algo falle para revisar los logs. Implementa revisiones periódicas, configura rotaciones y alertas, y conviértete en un sysadmin proactivo.

En el próximo y último artículo de la serie, veremos cómo generar trazabilidad de eventos y detección de posibles problemas, correlacionando todo lo que hemos aprendido. ¡No te lo pierdas! 🚀