Perquè estem clasifican logs?
Organitzar de manera clara i eficient els registres (logs) rebuts de totes les màquines clients, de manera que la consulta, anàlisi i seguiment d’incidències siguin ràpids i intuïtius.
Criteri de classificació
S’ha decidit classificar els logs principalment per màquina i, dins de cada màquina, separar-los per servei o aplicació que ha generat el registre.
Així, la informació quedarà estructurada de manera que:
- És fàcil identificar quina màquina ha generat un registre concret.
- És senzill analitzar els comportaments d’un servei específic (per exemple sshd, systemd, sudo, etc.).
Estructura d’emmagatzematge
Els fitxers de log s’organitzaran seguint aquesta jerarquia dins el servidor de logs:
Exemples reals segons el projecte:
/var/log/remote/dhcp/sshd.log
Mecanisme de classificació
Aquesta estructura es defineix mitjançant una plantilla de rsyslog configurada al servidor:
$template RemoteLogs,”/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log”
*.* ?RemoteLogs
Explicació:
- %HOSTNAME% ➔ Crea una carpeta per cada màquina que envia logs.
- %PROGRAMNAME% ➔ Crea un fitxer diferent per cada servei/programa dins de cada màquina.
Beneficis d’aquesta classificació
Facilitat d’anàlisi: Permet localitzar ràpidament incidents per màquina i servei.
Claredat: Cada component del sistema té els seus registres separats, evitant confusions.
Escalabilitat: Es poden afegir nous clients sense alterar la infraestructura ja existent.
Optimització de la rotació de logs: Es pot definir polítiques específiques per màquina o servei si és necessari.