Cursos Linux

Análisis de logs en Linux

La gestión de logs en Linux es una tarea clave en la administración de sistemas. Los registros permiten detectar errores, analizar fallos de servicios, auditar accesos y comprender qué ocurre en el sistema en tiempo real o de forma histórica.

En este artículo aprenderás dónde se almacenan los logs en Linux y cómo analizarlos con herramientas reales.

Explicación técnica clara

Un log es un archivo que registra eventos generados por el sistema operativo, el kernel o los servicios.
Linux centraliza la mayoría de estos registros en el directorio /var/log.

Dependiendo de la distribución y del sistema de inicio, los logs pueden gestionarse mediante:

  • rsyslog / syslog
  • systemd-journald

En sistemas modernos, ambos suelen convivir.

Directorio /var/log

El directorio principal de logs es:

ls /var/log

Archivos y directorios habituales:

  • syslog → mensajes generales del sistema
  • auth.log → autenticación y sudo
  • kern.log → mensajes del kernel
  • daemon.log → servicios del sistema
  • apache2/, nginx/ → logs de servidores web

Consultar logs clásicos (syslog)

Ver el contenido de un log

cat /var/log/syslog

Ver solo las últimas líneas

tail /var/log/syslog

Seguimiento en tiempo real

tail -f /var/log/syslog

Muy útil para depuración activa.

Análisis de logs con journalctl

En sistemas con systemd, journalctl es la herramienta principal.

Ver todos los logs

journalctl

Logs del arranque actual

journalctl -b

Logs de un servicio concreto

journalctl -u ssh

Seguimiento en tiempo real

journalctl -u apache2 -f

Filtrar por tiempo

journalctl --since "2026-01-15 08:00"

Logs de autenticación y seguridad

El archivo más importante para accesos es:

/var/log/auth.log

Permite revisar:

  • Intentos de login
  • Uso de sudo
  • Accesos SSH fallidos

Ejemplo:

grep "Failed password" /var/log/auth.log

Rotación de logs (logrotate)

Para evitar que los logs crezcan sin control, Linux utiliza logrotate.

Configuración principal:

/var/logrotate.conf

Configuraciones por servicio:

/var/logrotate.d/

Esto permite:

  • Comprimir logs antiguos
  • Borrar logs antiguos
  • Mantener el sistema estable

Errores comunes

  • No revisar logs tras un fallo
  • Eliminar logs manualmente sin rotación
  • Ignorar logs de seguridad
  • No supervisar el crecimiento de /var/log
  • Depender solo de mensajes en pantalla

Buenas prácticas / Seguridad

  • Revisa logs periódicamente
  • Protege los logs de accesos no autorizados
  • Usa rotación automática
  • Centraliza logs en servidores críticos
  • Analiza patrones de error repetitivos

Preguntas frecuentes (FAQ)

¿Qué logs debo revisar primero ante un problema?

syslog, auth.log y los logs del servicio afectado.

¿journalctl sustituye a syslog?

No completamente. journalctl gestiona el journal de systemd, pero syslog sigue siendo útil.

¿Puedo borrar logs antiguos?

Sí, pero siempre usando logrotate o con conocimiento de causa.

¿Dónde veo logs de un servicio que no arranca?

Con systemctl status servicio y journalctl -u servicio.

¿Los logs afectan al rendimiento?

Si no se rotan correctamente, pueden llenar el disco y causar problemas graves.

Siguiente Postt