Una de las mejores practicas que como personal de soporte IT podemos llevar a cabo es crear tareas periódicas donde se permita revisar todos los eventos que ocurren en el sistema operativo.
Esto es funcional ya que un evento nos da indicadores como:
- Usuario que realizo el cambio
- Fecha y hora del evento
- Tipo e ID del evento y más.
Con esta información, las tareas de soporte se convierten en un punto mucho más centralizado y fácil de dirigir ya que tenemos el control sobre todo lo que ocurre dentro de el y que pueden afectar su optimo rendimiento y seguridad. Podemos ver que tenemos a nuestra disposición diversas herramientas y aplicaciones para llevar a cabo este proceso, pero hoy Solvetic analizará en detalle algunas de las opciones más prácticas para analizar y conocer el contenido de un evento en tiempo real.
1. Monitorear eventos en tiempo real en Linux con comando Tail
Este comando nos permite desplegar en pantalla las últimas líneas de un archivo. Por defecto se muestran las últimas 10 líneas, pero este número puede variar dependiendo de las especificaciones indicadas del usuario.
Su sintaxis es la siguiente:
tail -opciones archivoAllí será posible especificar uno o más archivos de forma simultánea, en caso de especificarse más de un archivo, estos archivos se desplegarán en el mismo orden en el cual fueron especificados en el comando.
El uso de este comando cuenta con dos alternativas principales:
Con la primera opción, el comando tail necesitara el argumento -f para seguir el contenido de un archivo.
sudo tail -f (Archivo)En este caso ejecutaremos la siguiente linea:
sudo tail -f /etc/passwd
La segunda opción del comando es básicamente su sintaxis original: tailf, con esta opción no será necesario usar el modificador -f porque el comando está incorporado con el argumento -f.
sudo tailf /etc/passwd
Por lo general, los archivos de registro se rotan con frecuencia en un servidor Linux mediante la utilidad logrotate. Para ver los archivos de registro que se rotan sobre una base diaria, podemos usar el comando -F (flag to tail.):
sudo tail -F /etc/passwdEl parámetro tail -F hará un seguimiento si se está creando un nuevo archivo de registro y comenzará a seguir el nuevo archivo en lugar del archivo anterior.
Por defecto, el comando tail mostrará las últimas 10 líneas de un archivo. Si deseamos ver en tiempo real solo las dos últimas líneas del archivo de registro, podemos usar el archivo -n combinado con el indicador -f de la siguiente forma:
sudo tail -n2 -f /etc/passwd
2. Monitorear eventos en tiempo real en Linux con comando Multitail
MultiTail es una utilidad ncurses de código abierto la cual puede ser usada para mostrar múltiples archivos de registro a la salida estándar en una sola ventana o un solo shell que despliega las últimas líneas de archivos de registro en tiempo real, de forma similar al comando tail, que divide la consola en más subventanas.
Multitail también es compatible con resaltado de color, filtrado, adición y eliminación de ventanas y mucho más.
- Múltiples fuentes de entrada
- Pantalla a color con expresión regular en el caso de información importante
- Filtrado de línea
- Menús interactivos para eliminar y agregar shells.
Para instalar esta utilidad podemos ejecutar los siguientes comandos en base a la distro usada:
sudo apt install multitail (Debian / Ubuntu) sudo yum install multitail (RedHat / CentOS) sudo dnf install multitail (Fedora 22 y versiones superiores)
Para mostrar la salida de dos archivos de registro simultáneamente, usaremos la siguiente sintaxis:
sudo multitail (Ruta1) (Ruta2) sudo multitail /etc/passwd /var/log/syslogEl resultado será el siguiente. Podemos ver detalles de cada uno de los argumentos que hemos indicado.
3. Monitorear eventos en tiempo real en Linux con comando lnav
Lnav (Log File Navigator) es un visor de archivos de registro avanzado de escalado pequeño, mediante el cual será posible ver y analizar los archivos de registro desde una terminal.
Lnav no requiere un servidor propio ni una compleja configuración. Para su instalación podemos usar alguno de los siguientes comandos:
sudo apt install lnav (Debian / Ubuntu) sudo yum install lnav (RedHat / CentOS) sudo dnf install lnav (Fedora 22 y versiones posteriores)
Con lnav será posible analizar el contenido de dos archivos de registro simultáneamente con la siguiente sintaxis:
sudo lnav (Ruta 1) (Ruta 2)En este caso:
sudo lnav /etc/passwd /var/log/syslog
Allí encontraremos toda la información detalla de cada registro.
4. Monitorear eventos en tiempo real en Linux con comando less
Con el comando less será posible mostrar la salida en tiempo real de los archivos de registro seleccionados. Para esta visualización, podemos acceder al archivo y pulsar las teclas Shift + F para ver su contenido. Alternativamente, también será posible usar less + F para ingresar a la visualización en vivo del archivo:
sudo less +F /etc/passwd
Hemos visto las diversas alternativas para acceder y monitorear los eventos en tiempo real en ambientes Linux de forma simple y funcional.