Log files overview
Nota: Los usuarios de EZproxy alojados pueden encontrar información sobre cómo ver sus archivos de registro aquí.
Tipos de registro
Los archivos de registro generados por EZproxy sólo proporcionan información sobre la actividad de los usuarios remotos.
Los tipos de registros que puede generar EZproxy se definen a continuación. Los ajustes descritos son los ajustes por defecto para EZproxy autónomo que se establecen en el archivo config.txt cuando se descarga EZproxy por primera vez. Muchas de estas opciones pueden personalizarse para adaptarse a las necesidades de su institución. Para obtener más información sobre las opciones de personalización, consulte las fichas de cada registro individual y las directivas relacionadas con estos tipos de registro.
Registros de auditoría
Los registros de auditoría son registros diarios que contienen información sobre el acceso de sus usuarios a EZproxy según las condiciones que establezca con la directiva Audit. Por defecto, el archivo config.txt que se descarga con EZproxy está configurado como Audit Most, que registrará la mayoría de los eventos de inicio de sesión, los límites de uso y otros (consulte la ficha Registros de auditoría para obtener más detalles).
Estos archivos de registro se conservan en un directorio llamado audit que es un subdirectorio del directorio de instalación de EZproxy; no puede redirigir estos archivos para que se guarden en otro directorio. Sin embargo, puede personalizar sus registros de auditoría especificando qué eventos desea que EZproxy registre y cuánto tiempo desea que EZproxy conserve estos archivos.
Los eventos de auditoría se pueden ver entrando en la página de administración de EZproxy donde se pueden buscar todos los archivos en el directorio de auditoría. También se pueden ver en su sistema operativo abriendo la carpeta de auditoría dentro del directorio de instalación de EZproxy. La información incluida en estos registros puede ser útil para supervisar y resolver problemas de seguridad.
Añada la directiva de auditoría
Si añade la directiva Audit al archivo config.txt, ordenará a EZproxy que cree registros de auditoría cuando se produzcan los eventos especificados y guarde estos archivos en el directorio de instalación de EZproxy. Los archivos individuales serán nombrados con el año, mes y día en que ocurrió el evento (por ejemplo, 20140512.txt). El uso más común de la directiva Audit para ordenar a EZproxy que cree registros de auditoría es el siguiente:
Audit Most
Esta declaración directiva creará un registro cuando se produzca cualquiera de los siguientes eventos:
- Se deniega el acceso de EZproxy a un usuario
- Un usuario se conecta con éxito a EZproxy
- Un usuario tiene un intento fallido de iniciar sesión en EZproxy
- Se produce un intento de intrusión basado en la directiva IntruderIPAttempts o IntruderUserAttempts
- Las actividades generales del sistema, como el arranque del sistema, se producen
- Un usuario no autorizado intenta acceder a las funciones administrativas de EZproxy
- Se produce un evento resultante de la directiva UsageLimit
Esta es la configuración por defecto en el archivo config.txt que se descarga con EZproxy. Para obtener más detalles sobre la personalización de los registros de auditoría, consulte Audit.
Se puede acceder a los registros de auditoría desde la página de administración de EZproxy en cualquier momento. Los registros que han sido purgados como resultado de la directiva AuditPurge no serán accesibles.
Configuración sugerida
Manteniendo la declaración de la directiva Audit Most por defecto en su archivo config.txt, tendrá los eventos de seguridad más comúnmente evaluados registrados en sus registros de auditoría. Para limitar la cantidad de espacio de almacenamiento que ocupan sus registros de auditoría, la directiva AuditPurge también está configurada por defecto a 7 después de la declaración Audit para que EZproxy elimine los archivos después de un período de tiempo especificado. Esto mantendrá sólo los registros de auditoría para el día actual más la semana anterior y eliminará cualquier archivo que tenga más de 7 días. OCLC sugiere aumentar el período de tiempo de AuditPurge a 180, de modo que su archivo config.txt tenga el siguiente aspecto
Audit Most AuditPurge 180
Este cambio en la directiva AuditPurge hará que EZproxy conserve el archivo de auditoría del día actual más los archivos de auditoría de los 180 días anteriores, y borre cualquier archivo de más de 180 días. Conservar los archivos de auditoría durante periodos de tiempo más largos le proporcionará una mayor cantidad de información para su revisión en caso de que necesite acceder a ella. Puede aumentar o disminuir el número de purgas según lo considere oportuno para ahorrar espacio en el disco o asegurarse de que tiene los datos que necesita en caso de que las solicitudes de informes o una violación de la seguridad le obliguen a consultarlos. A la hora de determinar el tiempo de purga de su AuditPurge, consulte con su departamento de TI para asegurarse de que su programa de retención cumple con las políticas institucionales a efectos de seguridad y presentación de informes.
Registros de EZproxy
Los registros de EZproxy son registros mensuales que contienen grandes cantidades de datos (por ejemplo, el nombre de usuario remoto, la fecha y la hora en que se realizó la solicitud, el número de bytes transferidos, etc.) sobre la información enviada entre EZproxy y todos los proveedores de bases de datos que haya configurado en su archivo config.txt.
Estos registros se conservan por defecto en el directorio de instalación de EZproxy y se denominan ezpyyyymm.log. Puede cambiar el nombre de este registro, el directorio en el que se conserva la información, designar los períodos de tiempo durante los cuales un archivo individual recopila información y limitar el tipo de información registrada en estos registros incluyendo ciertas directivas en su archivo config.txt.
El registro activo se puede ver y buscar desde su página de administración de EZproxy, y se puede acceder a todos los registros de EZproxy directamente desde el directorio de instalación de EZproxy. La información incluida en estos registros se puede utilizar para evaluar el uso de EZproxy y evaluar y resolver posibles amenazas para la seguridad.
Ezproxy.log
EZproxy generará automáticamente los registros de EZproxy y los guardará en un archivo llamado ezproxy.log en el directorio donde esté instalado EZproxy. El comando por defecto utilizado para formatear los datos recogidos en el registro de EZproxy es el siguiente:
LogFormat %h %l %u %t “%r” %s %b
Esto generará los siguientes datos en su registro de EZproxy:
132.174.1.1 - - [14 /Mar/2014:09:39:18 -0700] “GET http://www.somedb.com:80/index.html HTTP/1.0” 200 1234
El siguiente cuadro desglosa esta línea de datos:
| Campo | Valor correspondiente en el ejemplo | Descripción |
|---|---|---|
%h |
132.174.1.1 |
La dirección IP del Host que accede a EZproxy |
%l |
- |
The remote username obtained by identd, if identd is not used, a - will be recorded in your EZproxy log |
%u |
- |
El nombre de usuario o identificador de sesión, basado en otras opciones de config.txt |
%t |
[14/Mar/2014:09:39:18-0700] |
La fecha y la hora en que se hizo la solicitud |
"%r" |
"GET http://www.somedb.com:80/index.html HTTP/1.0" |
La solicitud http completa enviada al servidor remoto; este campo está entre comillas para que se analice como un solo dato aunque contenga espacios, ya que los espacios son generalmente una señal de que comienza un nuevo campo de datos |
%s |
200 |
El estado numérico HTTP de la solicitud (consulte los códigos de estado de LogFormat para obtener más información sobre estos números) |
%b |
1234 |
El número de bytes transferidos |
Nota: Si EZproxy no puede recoger los datos indicados en un campo concreto, insertará un guión para la información que falta.
Para más detalles sobre estos y otros campos que pueden utilizarse para personalizar aún más esta directiva, consulte LogFormat.
Configuración sugerida
La configuración por defecto del archivo config.txt del EZproxy autónomo le proporcionará archivos de registro mensuales que contienen datos sobre todas las transferencias de datos y solicitudes enviadas a través de su instancia de EZproxy. Dependiendo de los niveles de uso, es posible que desee configurar EZproxy para mantener archivos de registro diarios en lugar de mensuales para que pueda identificar más rápidamente la ubicación de la información que pueda necesitar por fecha. Esta configuración sugerida no contiene ningún LogFilter, pero también puede considerar si la inclusión de filtros para limitar el volumen de datos recopilados haría que sus registros de EZproxy fueran más manejables y proporcionaran información más enfocada. Consulte LogFilter para obtener más detalles sobre esta opción. La siguiente configuración cambiará sus registros de EZproxy a archivos diarios en lugar de mensuales:
LogFormat %h %l %u %t "%r" %s %b LogFile -strftime ezp%Y%m%d.log
registros message.txt
El archivo messages.txt registra la información operativa diaria sobre cada vez que EZproxy se inició o se detuvo y los errores fatales o no fatales. Este registro también contiene cualquier mensaje resultante de los scripts de depuración generados por la directiva Debug cuando se incluye en su archivo config.txt.
El archivo messages.txt se conserva por defecto en el directorio de instalación de EZproxy y se llama messages.txt. Puede cambiar el nombre de este registro, el directorio en el que se conserva la información y designar los períodos de tiempo en los que un archivo individual recoge información editando el propio registro messages.txt.
El registro activo se puede ver y buscar desde la página de administración de EZproxy , y se puede acceder a todos los archivos de mensajes.txt desde el directorio de instalación de EZproxy. Estos registros pueden ser útiles para solucionar problemas con EZproxy y verificar los detalles del sistema.
messages.txt
EZproxy generará automáticamente registros messages.txt y los guardará en archivos del mismo nombre en el directorio de instalación de EZproxy. Aunque hay menos directivas dedicadas a personalizar la información registrada en messages.txt, muchas directivas utilizadas para establecer límites máximos registrarán información en messages.txt cuando se alcancen estos límites. Una lista de las directivas que registran este tipo de información se puede encontrar en la pestaña de Directivas Relacionadas, y al hacer clic en el enlace se obtendrá información adicional.
Los datos contenidos en el archivo messages.txt, tendrán un aspecto similar al siguiente cuando inicie o reinicie su instancia de EZproxy, si no tiene errores:
2018-01-12 12:41:07 EZproxy 5.7.42 GA [SOURCE:5.7.41_SOURCE] [Windows] [2017-06-26T19:46:13Z] 2018-01-12 12:41:07 For further information or updates, visit http://www.oclc.org/ezproxy/ or contact ezproxy@oclc.org. 2018-01-12 12:41:07 MaxVirtualHost (MV) changed from 200 to 1000 2018-01-12 12:41:07 Server name localhost 2018-01-12 12:41:07 The use of a server name with no periods will cause some databases to fail. 2018-01-12 12:41:07 Server http URL http://localhost:2048 2018-01-12 12:41:07 Proxy by port 2018-01-12 12:41:07 SSL is not configured so https proxying will not be available 2018-01-12 12:41:07 To configure EZproxy as a service that runs in the background and 2018-01-12 12:41:07 starts when this system is booted, press CTRL/C and issue the commands: 2018-01-12 12:41:07 C:\ezproxy\ezproxy.exe -si 2018-01-12 12:41:07 net start EZproxy 2018-01-12 12:41:07 You may not see any additional messages, but EZproxy is running. 2018-01-12 12:41:07 If you press CTRL/C or close this window, EZproxy will stop running. 2018-01-12 12:41:07 Thank you for your purchase of this licensed copy of EZproxy. 2018-01-12 12:41:07 EZproxy was last able to validate the license on 2018-01-12 12:41:07. 2018-01-12 12:45:53 Guardian starting EZproxy
Muchos de los datos en messages.txt están escritos en un formato de mensaje para transmitirle detalles o problemas con su config.txt o user.txt que pueden impedir que su EZproxy funcione. Si has hecho cambios en las configuraciones en cualquiera de estos archivos, pero EZproxy no se está comportando como se esperaba, messages.txt es un buen lugar para comprobar si alguno de esos cambios fue introducido incorrectamente y causó el error.
Configuración sugerida
Al igual que con las otras configuraciones de archivos de registro, OCLC sugiere que cambie el nombre de los archivos messages.txt para que roten diariamente, de modo que la información se conserve en los registros nombrados con la fecha. Esto facilitará la identificación de la ubicación de la información que pueda necesitar por fecha. Introduzca la siguiente línea como primera línea de su archivo messages.txt para crear registros de mensajes nombrados con el año, el mes y el día en que se crean:
MessagesFile -strftime messages-%Y-%m-%d.txt
Registros SPU
Los registros de URL de punto de partida registran información sobre cada vez que se hace clic en una URL de punto de partida. El EZproxy autónomo no está configurado para crear registros de SPU de forma predeterminada cuando se descarga.
Cuando se configura sin especificar las ubicaciones de los directorios donde se deben guardar los registros de la SPU, EZproxy almacena estos archivos en el directorio de instalación de EZproxy con el nombre spu.log.
Puede especificar diferentes ubicaciones para el almacenamiento de estos registros y refinar la información que recogen con las mismas configuraciones que los registros de EZproxy. Estos archivos de registro sólo pueden verse a través del visor de su sistema operativo. Este registro puede utilizarse para determinar la frecuencia con la que los usuarios remotos acceden a determinados recursos.
Spu.log
Añadir la directiva LogSPU a su archivo config.txt le proporcionará datos para determinar a qué URL de punto de partida han accedido los usuarios remotos. Añadir campos de configuración adicionales, los mismos que se utilizan en LogFormat, le permite refinar la información registrada junto con cada URL de punto de partida e incluir datos como la fecha y hora de acceso y el grupo de usuarios.
No hay ningún valor predeterminado para LogSPU en el archivo config.txt que se descarga con EZproxy, por lo que debe determinar qué información le gustaría recoger en este registro antes de añadirlo a su archivo config.txt. Puede personalizar su spu.log utilizando los mismos campos aceptados por la directiva LogFormat .
Configuración sugerida
OCLC sugiere, e implementa para los sitios EZproxy alojados, la siguiente configuración de LogSPU:
LogSPU -strftime spu%Y%m%d.log %{%Y/%m/%d:%H:%M:%S}t %h %u %{ezproxy-spuaccess}i %v %U
Esta configuración le proporcionará la siguiente información:
| Campo | Descripción |
|---|---|
%{%Y/%m/%d:%H:%M:%S}t |
La fecha y hora en que se realizó la solicitud en el formato: año/mes/día:horas:minutos:segundos |
%h |
La dirección IP del host que accede a EZproxy |
%{proxy-spuaccess}i |
Inserta "proxy" si el acceso del usuario remoto a la URL fue proxy; "local" si el usuario fue redirigido debido a ExcludeIP; o "desconocido" si la URL no es conocida por EZproxy y la opción de redirección aparece en el config.txt |
%v |
El nombre del servidor web virtual (por ejemplo, www.somedb.com) |
%U |
URL solicitada (por ejemplo, http://www.somedb.com) |
Esto le proporcionará información para ayudarle a determinar a qué recursos se accede con más frecuencia y por quién. Si bien esta información puede ser útil para tomar decisiones de recopilación, le sugerimos que también configure su ezproxy.log para registrar datos adicionales que podrían ser valiosos para evaluar el uso de los recursos proxy por parte de sus usuarios remotos, ya que el spu.log sólo contendrá información sobre el primer acceso del usuario a un recurso, no sobre la información adicional a la que accede mientras está en esa URL.
Análisis de archivos de registro
Aunque EZproxy tiene la capacidad de registrar grandes cantidades de datos de uso en los tres registros descritos anteriormente, no proporciona una manera de analizar esa información en este momento. Muchos usuarios han discutido las formas en que analizan sus archivos de registro en la lista de correo electrónico de EZproxy. Los archivos de esta lista se pueden buscar en la página Archivos de OCLC LISTSERV. Un buen término de búsqueda es "analysis" para localizar mensajes sobre este tema.
Herramientas de análisis
Además del servicio oficial EZproxy Analytics de OCLC, que proporciona capacidades de análisis avanzadas, las siguientes herramientas están disponibles para ayudar a las bibliotecas en el análisis de archivos de registro de EZproxy.
| Servicio | URL |
|---|---|
| AWStats | http://awstats.sourceforge.net/ |
| EZproxy Analytics | https://www.oclc.org/en/ezproxy/ezproxy-analytics.html |
| EzPAARSE | http://www.ezpaarse.org/ |
| Aserradero | http://www.sawmill.net |
| XpoLog | https://www.xplg.com/ |
Códigos de estado específicos de EZproxy
El campo LogFormat %s registra el estado numérico HTTP de la solicitud. Este campo puede devolver códigos de estado HTTP estándar, pero también puede registrar códigos de estado especiales en las circunstancias especificadas en la tabla siguiente.
| Code | Significado |
|---|---|
| 597 | Se registra en los intentos de acceso una vez superado el umbral de IntruderReject. |
| 598 | Se ha intentado acceder a una función de administración de EZproxy no autorizada. |
| 599 | La URL del punto de partida hace referencia a un host que EZproxy no está configurado para proxy. |
| 900-905 & 907 | Error occurred receiving the request from the remote user's browser. |
| 906 | Se ha producido un error al reenviar la petición desde el navegador del usuario al servidor remoto. |
| 950 | Se ha producido un error al interpretar una solicitud de administración del usuario remoto. |
| 997 | Fallo de inicio de sesión en Shibboleth debido a una mala configuración de los metadatos (registrado como 999 en las primeras versiones beta del soporte de Shibboleth). |
| 998 | Acceso denegado basado en una directiva DenyIfRequestHeader en config.txt. |
| 999 | Acceso intentado desde una dirección IP que está en un rango de direcciones RejectIP. |
Directivas relacionadas
Las siguientes directivas pueden utilizarse para personalizar sus archivos de registro. Para obtener más detalles sobre cada una, haga clic en el nombre de la directiva.
Nota: Si la directiva no está vinculada a una página dedicada a esta directiva, debe aparecer en Directivas de EZproxy config.txt.
Directivas de datos más utilizadas relacionadas con los registros de EZproxy y SPU
| Directiva | Propósito |
|---|---|
LogFile |
Designa el nombre del registro de EZproxy y si se debe ordenar la información por fecha en archivos fechados |
LogFilter |
Designa que ciertos tipos de datos NO sean recogidos en los registros de EZproxy |
LogFormat |
Se utiliza con los registros de EZproxy para personalizar el tipo de información recogida en el registro (los mismos campos pueden utilizarse para personalizar los registros de la EPD) |
LogSPU |
Registra la información de uso de las URL de los puntos de partida |
Option LogSession |
Especifica que el identificador de sesión se registre en el registro de EZproxy o SPU para cada sesión de EZproxy abierta por un usuario remoto |
Option LogUser |
Especifica que el nombre de usuario proporcionado al iniciar sesión en EZproxy se registre en el registro de EZproxy o SPU para cada usuario que inicie sesión en EZproxy |
Directivas de seguridad de uso común relacionadas con los registros de auditoría y de mensajes
Las directivas de esta tabla generalmente afectan a la configuración de seguridad o de depuración en EZproxy y registran los detalles de dicha configuración en los registros de auditoría o de mensajes. Esta información puede ser útil cuando se solucionan problemas con EZproxy o se trata de problemas de seguridad.
| Directiva | Propósito |
|---|---|
IntruderIPAttempts |
Permite la detección de intrusos y registra los intentos de inicio de sesión en los registros de auditoría (con Audit Most) desde direcciones IP que utilizan credenciales no válidas; los calificadores definen los límites |
IntruderLog |
Especifica el número máximo de veces que se registrarán en messages.txt los intentos fallidos de inicio de sesión desde la misma dirección IP; la directiva Audit anulará esto y los intentos fallidos de inicio de sesión se registrarán en los registros de auditoría |
IntruderUserAttempts |
Permite la detección de intrusos y registra los intentos de inicio de sesión en los registros de auditoría (con Audit Most) desde nombres de usuario que utilizan contraseñas no válidas; los calificadores definen los límites |
MaxConcurrentTransfers |
Especifica el número máximo de transferencias HTTP que pueden estar activas al mismo tiempo; si se alcanza el límite, se registrará un error en messages.txt |
MaxSessions |
Especifica el número máximo de sesiones de usuario que pueden estar activas al mismo tiempo; si se alcanza el límite, se registrará un error en messages.txt |
MaxVirtualHosts |
Especifica el número máximo de servidores web virtuales que EZproxy puede crear para proxiar servidores web remotos; si se alcanza el límite, se registrará un error en messages.txt |
| MessagesFile | Designa un nuevo nombre para el archivo messages.txt cuando se coloca como la primera línea en el archivo messages.txt |
| Option LogReferer | Registra el número de veces que EZproxy realiza la autenticación de la URL de referencia; sólo debe activarse durante las pruebas de la URL de referencia |
| Option RecordPeaks | Permite el registro de nuevos valores máximos de pico para funciones operativas como el número de sesiones de usuario, las transferencias concurrentes y los hosts virtuales |
LogSPUEdit |
Registra en el archivo messages.txt las transformaciones intentadas o realizadas por la directiva SPUEdit |
Note: Option LogSAML is a directive that is used during Shibboleth authentication for debugging. This directive does not record information to the messages.txt log as other debugging directives do. Instead it creates and logs those details in a separate XML file that is stored in the EZproxy installation directory.
Etiquetas recomendadas por la plantilla: artículo:tema