Los logs son los diarios íntimos de tu ordenador o servidor. Allí se guarda todo:
- Quién entró o intentó entrar.
- Qué servicio falló a medianoche.
- Qué aplicación se reinició sin permiso.
Son esenciales para administradores de sistemas, desarrolladores y expertos en seguridad. Pero también son traicioneros: crecen sin parar, pueden llenar discos y, si nadie los ordena, se convierten en un caos ilegible.
Veamos cómo los manejan los tres grandes sistemas: Linux, Windows y macOS.
🐧 Linux: entre cuadernos y bases modernas
En Linux, los logs clásicos se guardan como archivos de texto en /var/log/.
Ejemplos:
- syslog → mensajes generales del sistema.
- auth.log → accesos y autenticación.
- nginx/access.log → visitas a un servidor web.
📘 El método clásico: logrotate
- Rota (cambia) los logs cada cierto tiempo.
- Comprime los antiguos (.gz).
- Elimina los más viejos.
- Puede reiniciar servicios para que empiecen a escribir en un archivo nuevo.
Ejemplo:
/var/log/nginx/*.log {
daily
rotate 7
compress
postrotate
systemctl reload nginx
endscript
}
🔄 Lo moderno: systemd-journald
Hoy muchas distros usan journald, que guarda logs en binario.
Se consulta con journalctl:
- journalctl -xe → últimos errores.
- journalctl -u ssh.service → solo el servicio SSH.
- journalctl –since “2025-09-01” → filtra por fecha.
👉 Consejo: activa/var/log/journal para que los registros sobrevivan a los reinicios.
🪟 Windows: el archivador central
Windows no usa texto plano: guarda todo en archivos binarios .evtx accesibles con el Visor de eventos (eventvwr.msc).
Categorías principales:
- Application → logs de programas.
- System → drivers, hardware.
- Security → accesos y auditorías.
📘 Lo básico
Cada log tiene:
- Un tamaño máximo.
- Una política cuando se llena: sobrescribir, archivar o parar.
🤖 PowerShell, el detective de los eventos
Get-WinEvent -LogName System -MaxEvents 5 wevtutil epl Application C:\Logs\app.evtx wevtutil cl Security
🔄 Lo moderno en Windows
- Windows Event Forwarding (WEF): recolecta logs de varios equipos en uno solo.
- Azure Monitor / Sentinel: análisis avanzado en la nube.
- Integración con SIEMs como Splunk o Elastic Security.
🍏 macOS: el diario binario de Apple
Desde macOS Sierra, los logs se guardan en una base binaria gestionada por logd. Se consultan con:
- Console.app → vista gráfica, búsquedas y filtros.
- Comando log → análisis avanzado en terminal.
Ejemplos prácticos:
log stream # ver logs en tiempo real log show --last 1h --info # registros de la última hora log show --predicate 'process == "Safari"' --last 24h
👉 Consejo: exporta los logs en .logarchive para analizarlos en otro equipo o integrarlos en sistemas externos.
📊 Comparación rápida
| Aspecto | Linux | Windows | macOS |
|---|---|---|---|
| Dónde viven | Archivos /var/log/ o base journald | Archivos .evtx | Base binaria de logd |
| Clásico | logrotate | Event Viewer | Console.app |
| Moderno | journald + ELK/Loki | WEF + Azure/SIEM | log CLI + exportación .logarchive |
| Automatización | cron + scripts | PowerShell + GPO | Scripts con log show |
🚀 Buenas prácticas en 2025
- No acumules por acumular. Define cuánto tiempo guardarás (ej. 7 días local + 90 días en servidor central).
- Centraliza. Linux → ELK/Loki, Windows → WEF/Sentinel, macOS → integraciones con Splunk o Datadog.
- Pon alarmas. No sirve tener millones de registros si nadie los lee. Configura alertas para errores críticos.
- Protege los logs. Cifrado, permisos y copias seguras: contienen información sensible.
- Usa formatos modernos. JSON, binario o exportaciones estructuradas en lugar de texto plano interminable.
🎯 Conclusión
- En Linux, logrotate mantiene el orden y journald aporta potencia.
- En Windows, Event Viewer y PowerShell son la base, pero lo serio es centralizar.
- En macOS, el comando log y Console.app son tu ventana al sistema.
Al final, no importa el sistema: los logs son la memoria de tu infraestructura. Gestionarlos bien significa servidores estables, discos sanos y un equipo preparado para detectar y resolver problemas antes de que sea tarde.
