¿Qué son los audit logs?

| Última modificación: 2 de julio de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

Los audit logs son registros de auditoría que contienen información detallada sobre eventos importantes que ocurren en un sistema o aplicación. Estos registros pueden incluir información sobre quién realizó una acción, qué acción se llevó a cabo, cuándo ocurrió y desde dónde se realizó la acción. Veamos ahora algunos de esos audit logs que debes conocer.

Audit logs

Los audit logs los pueden generar automáticamente los sistemas y aplicaciones y se pueden almacenar en un archivo de registro o en una base de datos de registro. Los datos de registro del audit logging también se pueden exportar y analizar mediante herramientas de análisis de registro especializadas para obtener información útil y detectar patrones de actividad sospechosos relacionados con el log management.

utmpdump /var /log /wtmp

Dentro del /var /log vamos a encontrar archivos como el wtmp:

Si abrimos este fichero, no vamos a ver nada, porque está codificado:

audit logs

Este no es un fichero como tal, sino una salida de log, y para ello tenemos que usar el comando utmpdump /var /log /wtmp. Con este comando podremos interpretar y lograr que este “fichero” sea legible para el ser humano. Veamos:

Audit logs: wtmp

Este fichero nos da información sobre los login y los logout que hay en el sistema. En la imagen podemos ver, por ejemplo, que ha habido un login a las 15.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Si estamos trabajando en un sistema en vivo, es importante que saquemos un date para saber qué hora exacta es en la máquina. Por ejemplo en esta máquina se tiene el formato UTC de 24 horas y, en comparación con otra máquina, puede haber retrasos, por tanto, es importante determinar este tipo de cosas con nuestros audit logs.

El comando utmpdump

Es un comando de los audit logs en Linux que se utiliza para leer y mostrar información del archivo /var/log/wtmp y otros archivos.

El archivo wtmp se actualiza cada vez que un usuario inicia o cierra sesión en el sistema. La información en el archivo incluye el nombre de usuario, la hora de inicio de sesión, la duración de la sesión y otros detalles relacionados con el inicio y cierre de sesión de usuarios.

Al ejecutar el comando utmpdump /var/log/wtmp, se puede ver la información almacenada en el archivo wtmp en un formato legible para las personas. Este comando puede ser útil para el análisis y la solución de problemas relacionados con el uso del sistema y las actividades de los usuarios.

utmpdump /var /log /btmp

Este comando de audit logs nos dice qué consola se ha hincado para cada usuario y puede ser útil para identificar posibles intentos de piratería o actividades maliciosas en el sistema.

A diferencia de wtmp, el archivo btmp contiene información sobre los intentos fallidos de inicio de sesión en el sistema.

Cada vez que un usuario o un programa intenta iniciar sesión en el sistema utilizando credenciales inválidas, se registra una entrada en el archivo btmp. La información en el archivo incluye, como en el caso anterior, la fecha y la hora del intento de inicio de sesión, el nombre de usuario o el nombre del programa que intentó iniciar sesión y la dirección IP desde la que se originó el intento.

Audit logs: btmp

utmpdump /var /run /utmp

Este archivo de los audit logs contiene información sobre los usuarios que están actualmente conectados al sistema.

El archivo utmp lo actualizan continuamente el kernel del sistema operativo y los programas que administran el inicio y cierre de sesión de los usuarios. La información en el archivo incluye el nombre de usuario, la terminal en la que están conectados, la hora en la que se inició la sesión y el estado actual de la sesión. Este comando puede ser útil para verificar la cantidad de usuarios conectados al sistema en tiempo real y para obtener información sobre sus sesiones actuales.

Audit logs: utmp

Ya hemos visto qué son los audit logs y cómo funcionan algunos de ellos. También hemos explorado cómo podemos utilizar los audit logs para prevenir o arreglar ataques informáticos. Si quieres seguir formándote en las distintas disciplinas de la seguridad informática, en KeepCoding tenemos nuestro Ciberseguridad Full Stack Bootcamp, la formación con la que puedes convertirte en un gran profesional IT en cuestión de meses. ¡Solicita ya más información y transforma tu vida profesional!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado