# Análisis de logs

En esta actividad exploraremos las herramientas que tenemos en Linux para rastrear los eventos del sistema.

# Logs

Un log es un archivo de registro en el que se organizan cronológicamente los eventos que sudecen en el sistema, generalmente se componen de una fecha y hora, seguidos de un nombre o descripción del evento. Generalmente existen logs para eventos y logs para erroes, imaginemonos que pudieramos registrar cada evento de nuestras vidas en un archivo de logs, por ejemplo:

Así se vería un archivo de logs de los eventos usuales alojado en la carpeta `/var/log/`:

`/var/log/oscar.log`
2020-08-14T17:26:40-0500 (Oscar) Fue a la nevera
2020-08-14T17:27:10-0500 (Oscar) Sacó la leche
2020-08-14T17:27:46-0500 (Oscar) La puso en la cocina
2020-08-14T17:28:10-0500 (Oscar) Tomó un vaso
2020-08-14T17:28:50-0500 (Oscar) Limpió
2020-08-14T17:35:30-0500 (Oscar) Se sirvió un poco de leche

Así se vería un evento de errores.
`/var/log/oscar-error.log`
2020-08-14T17:28:11-0500 (Oscar) (ERROR) Regó leche en el suelo

Cómo pudimos ver en el ejemplo anterior hay un archivo en el que se produjo un error y un archivo en el que se ven los eventos normales, así funciona en Linux.

En Linux, los logs registran:

* Instalación de paquetes
* Accesos al equipo
* Intentos fallidos de autenticación
* Eventos o errores en programas o servicios
* Eventos de seguridad como bloqueos de firewall
* Eventos en el proceso de inicialización del sistema
* Etc.

Generalmente los logs en Linux los encuentras en la carpeta `/var/log/` algunos de los logs más importantes son:

* `/var/log/auth.log` Registra información sobre autenticaciones en el sistema
* `/var/log/syslog` Contiene la totalidad de logs capturados por rsyslogd
* `/var/log/dmesg` Contiene la información relacionada con el hardware de nuestro equipo
* `/var/log/messages` Contiene mensajes informativos y no críticos de la actividad del sistema operativo
* `/var/log/faillog` Registra los intentos fallidos de autenticación de cada usuario
* `/var/log/lastlog` Registra la fecha y la hora en que cada usuario se ha conectado por última vez
* `/var/log/wtmp` En todo momento contiene los usuarios que están logueados al sistema operativo
* `/var/log/boot.log` Contiene información relacionada con el arranque del sistema
* `/var/log/cron` Registra la totalidad de información de las tareas realizadas por cron
* `/var/log/dpkg.log` Contiene información sobre la totalidad de paquetes instalados y desinstalados mediante el comando dpkg
* `/var/log/mail.log` Contiene información relacionada con el servidor de email que tengamos instalado en el equipo
* `/var/log/alternatives.log` Registra todas las operaciones relacionadas con el sistema de alternativas (editor de texto predeterminado, el entorno de escritorio predeterminado, la versión de java que queremos usar por defecto, etc)
* `/var/log/Xorg.0.log` Registra la totalidad de eventos relacionados con nuestra tarjeta gráfica desde que arrancamos el ordenador hasta que lo apagamos

La siguiente ejecución permitirá listar los logs contenidos en la carpeta `/var/log/`

In [5]:
ls /var/log/

Vamos a observar entonces el contenido del log de `dpkg.log` con la siguiente ejecución del comando `cat`

In [5]:
cat /var/log/dpkg.log

Cómo podemos ver es un log bastante completo, haremos a continuación un par de ejercicios para poder leerlo mejor

# Tail

El comando `tail` muestra la última parte, o "cola", de los archivos. Es decir, que en lugar de ejecutar `cat` podemos ejecutar `tail` para ver solo las últimas líneas de un archivo y así ver los últimos eventos de un log sin necesidad de abrir el archivo completo.

Además es importante saber que los logs se están escribiendo todo el tiempo por parte de los programas, entonces tail permite ver en tiempo real esas ejecuciones, es decir, que si dejamos una ventana del comando `tail` leyendo un archivo en tiempo real, y en otra ventana le inyectamos una nueva línea a dicho archivo, podremos ver de manera inmediata dicha línea.

Uso:

`tail -f ó --follow (archivo de log)` Permite ver las ejecuciones en tiempo real
`tail -n (número de líneas) (archivo de log)` Permite imprimir en pantalla un número de últimas líneas específico

Con Binder no debemos ejecutar la opción -f para ver ejecuciones en tiempo real ya que no es posible separar la terminal para ver dicha ejecución, pero con la siguiente ejecución veremos las últimas 2 líneas del archivo `/var/log/alternatives.log` 

In [5]:
tail -n 2 /var/log/alternatives.log

Ahora veremos las últimas 5 líneas

In [5]:
tail -n 5 /var/log/alternatives.log

Es importante que sepas que al utilizar la opción de tiempo real `-f` perderás el uso de la terminal, para poder retomarlo debes utilizar las teclas `CTRL + C`

# Head

El comando `head` muestra la primera parte, o "cabeza", de los archivos. Es decir, al igual que con tail pero para ver solo las primeras líneas de un archivo.

Uso:

`head -c (número de caractéres) (archivo de log)` Permite imprimir en pantalla un número específico de caracteres
`tail -n (número de líneas) (archivo de log)` Permite imprimir en pantalla un número de últimas líneas específico

La siguiente ejecución permitirá ver en pantalla los primeros 10 caracteres del archivo `/var/log/alternatives.log` 

In [5]:
head -c 10 /var/log/alternatives.log

Ahora la siguinte ejecución permitirá ver las primeras 3 líneas de dicho archivo

In [5]:
head -n 3 /var/log/alternatives.log

# dmesg

El comando dmesg imprime toda la lista el buffer del kernel. Permite utilizar filtros específicos para obtener mejor información, ellos son:

* emerg – el sistema no se puede usar
* alert – se deben tomar medidas de inmediato
* crit – condiciones críticas
* err – condiciones de error
* warn – condiciones de advertencia
* notice – condición normal pero significativa
* info – informativo
* debug – mensajes a nivel de depuración

Su uso es:
`dmesg` Solo para ver toda la lista
`dmesg --level=(Filtro a usar)` Permite utilizar un filtro específico.

La siguiente ejecución permitirá filtrar todos los mensajes del kernel en condición de error

In [5]:
dmesg --level=err

La siguiente ejecución permitirá filtrar todos los mensajes del kernel en condición de advertencia

In [5]:
dmesg --level=warn

Ahora, en la siguiente ejecución listaremos la condición de error y además la de warning juntas

In [5]:
dmesg --level=warn,err

# Filtro de logs

Cómo aprendimos anteriormente, es posible enviar la salida de un comando a otro comando, haremos algunas prácticas:

La siguiente ejecución listará las condiciones de error y warning de dmesg, pero solo mostrará las últimas 5 líneas de dicha salida redirigiendola a `tail`:

In [5]:
dmesg --level=warn,err | tail -n5

La siguiente ejecución listará las condiciones de error y warning de dmesg, pero solo mostrará las primeras 2 líneas de dicha salida redirigiendola a `head`:

In [5]:
dmesg --level=warn,err | head -n2

Sabemos entonces que el log `/var/log/dpkg.log` contiene los eventos de paquetes instalados, existe un paquete llamado `gzip`, del cual no estamos seguros si se registró el evento de su instalación en el sistema, lo comprobaremos abriendo dicho log con `cat` y filtrando en la salida con `grep`

In [5]:
cat /var/log/dpkg.log | grep "gzip"

Cómo puedes ver, los filtros son súmamente útiles para encontrar mayor información relacionada con los logs del sistema

# Less o More (tip final)

Los comandos `less` y `more` permiten paginar grandes archivos de texto, es decir que en lugar de ver en una terminal una infinidad de texto, podrás ir viendo página por página del mismo, pueden utilizarse de dos formas.

`less ó more (archivo a paginar)`
`cat (archivo a paginar) | less ó more`
`dmesg (filtro a aplicar) (archivo a paginar) | less o more`

Por ejemplo:

`cat /var/log/dpkg.log | less`

O por ejemplo:

`less /var/log/dpkg.log`

En el uso de estos comandos es importante que sepas que para salir de su ejecución puedes utilizar la tecla `ESC`, para pasar de páginas puedes utilizar las teclas `av pag` y `re pag` y para bajar lentamente puedes utilizar la tecla `Space`.