Figura 1. Contenido del fichero /etc/syslog

Además de las herramientas de análisis de los subsistemas que componen un sistema operativo Linux, para analizar el comportamiento de un equipo se dispone de la aplicación syslog.

La aplicación syslog está basada en la arquitectura cliente-servidor. Los eventos generados por el sistema operativo y las aplicaciones que se ejecutan (clientes), se almacenan en los ficheros indicados por syslog (servidor).

El administrador del sistema a través de la configuración del fichero /etc/syslog.conf le indica al proceso servidor las reglas que marcan cómo y dónde se registran los eventos del sistema. Este fichero consiste en líneas con dos campos: selector y acción, separados por espacios en blanco o con tabuladores. En la figura 1 podemos ver un ejemplo del contenido de /etc/syslog.

El campo selector consiste, a su vez, en facilidades y prioridades separadas por el carácter ‘.’. Las facilidades son palabras que referencian el subsistema que produce el evento, como por ejemplo, auth para referenciar al subsistema de autenticación de entrada al equipo o cron para indicar los eventos provenientes de procesos planificados. La prioridad define la importancia del mensaje: debug, info, notice,… Tanto para las facilidades como para las prioridades, se acepta el comodín ‘*’ con el que se puede referenciar a cualquier facilidad o prioridad.

Por otra parte, el campo de acciones describe qué se realiza con el evento: guardarlo en fichero, enviarlo a una máquina remota o a la consola.