Registros de eventos del sistema con rsyslog

La mayoría (si no todos) de los servicios que se ejecutan en un sistema Linux originan algún tipo de registro como resultado de su operación. Ya sea que se trate de mensajes de error, eventos de inicio de sesión, o incluso cuestiones puramente informativas, es importante que sepamos dónde se guardan. Esto nos permitirá examinarlos cuando sea necesario en búsqueda de información importante. En este post hablaremos sobre rsyslog y el papel que juega en los registros de eventos del sistema.

Registros de eventos con rsyslog
Registros de eventos con rsyslog

Registros de eventos

El protocolo que se utiliza para la transmisión de estos mensajes recibe el nombre de rsyslog, al igual que la aplicación que se encarga de tal envío. El protocolo en sí es muy sencillo. Consiste en un servidor ejecutando el servicio relacionado que registra los mensajes en formato de texto plano (menos de 1024 bytes) enviados por cada aplicación.

Aunque rsyslog tiene algunos problemas de seguridad, su sencillez ha hecho que muchos dispositivos lo implementen, tanto para enviar como para recibir. Eso hace posible integrar mensajes de varios tipos de sistemas en un solo repositorio central (incluso provenientes de distintos equipos).

Estructura del mensaje

El mensaje enviado por rsyslog se compone de tres campos:

  1. Prioridad
  2. Cabecera
  3. Texto

Entre los tres campos anteriores no deben sumar más de 1024 bytes, pero no hay longitud mínima. Veamos ahora con un poco más de detalle el significado y posibilidades de cada uno de ellos:

  • La prioridad indica tanto el recurso (origen) del mensaje como la severidad de este. Suele seguir la convención tomada de la RFC 3164. Los recursos más comunes son auth, authpriv, cron, daemon, kern, lpr, mail, y local0 a local7 para mensajes definidos por usuarios. La severidad (en orden de importancia) puede ser debug, info, notice, warn, err, crit, alert, y emerg. Por defecto, todos los mensajes de la severidad especificada y mayores serán registrados de acuerdo con lo que se indique.
  • La cabecera indica tanto la fecha y hora del mensaje como el servidor (nombre de equipo desde donde se origina) y, junto con el texto explicativo, constituye la información que se guarda en el archivo de registro.

Espero que este artículo les haya resultado útil. En el próximo post mostraremos cómo enviar mensajes personalizados a rsyslog y a indicarle dónde debe guardarlos.

¡Nos leemos en breve!