Skip to Content

¿Quién lee los logs?

Supongo que muchos sabemos que son logs, pero ¿Alguna vez nos atrevimos a revisarlos? Esta es una de las tareas más difíciles y engorrosas de la seguridad de los sistemas.

Tenemos varias alternativas al proceso de los logs, el que mencionaré en este artículo es web, muy visual, fácil de usar y tiene una modalidad "libre" que puede ser suficiente para la mayoría de las SOHO o Small Bussiness: Splunk.

Esta herramienta funciona en ambientes *nix (También el linux) y windows, lo que le permite gran versatilidad. Tiene conectores para syslog(udp:415), WMI, Active Directory, etc. Prácticamente puede devorar cualquier información, siempre y cuando se pueda ponerse en un archivo de texto.

Su versatilidad le permite tener búsquedas distribuidas, indexación por orígen y tipo de registro, identificación de campos en registros planos, etc. Y con el cual es muy fácil hacer correlación en base a los patrones de eventos en los tiempos, y por supuesto la generación de gráficos muy detallados para la mejor comunicación de los hallazgos.

Tiene buen nivel de escalabilidad como se puede ver en el siguiente gráfico:

En caso de necesidad se pueden crear nuevos módulos, que en la jerga de Splunk se denominan "app"s, por lo que su extensibilidad es sustentable.

Si estas interesado en controlar tus servidores e implementar seguridad en tu ambiente de trabajo, entonces esta es una herramienta importante dentro de tu arsenal.

Splunk

Descarga con 60 días de prueba y/o licencia gratis.

[LPI]