Logs de Sistema
Archivos que registran automáticamente eventos del sistema operativo, aplicaciones y servicios. Son fuente primaria de evidencia forense para reconstruir actividades, detectar intrusiones y establecer timelines de incidentes.
¿Qué son los Logs de Sistema?
Los logs de sistema son archivos que registran automáticamente eventos que ocurren en un sistema operativo, aplicación o servicio. Cada evento incluye timestamp, origen, tipo de evento, y detalles específicos, creando un registro histórico de la actividad del sistema.
Testigos Silenciosos
Los logs son como cámaras de seguridad digitales: registran constantemente lo que ocurre en el sistema, incluso cuando nadie mira. Son frecuentemente la mejor fuente de evidencia para reconstruir qué pasó y cuándo.
Logs en Windows
Ubicación Principal
%SystemRoot%\System32\winevt\Logs\Logs Principales
| Log | Contenido | Uso Forense |
|---|---|---|
| Security.evtx | Autenticación, accesos, auditoría | Inicios de sesión, accesos no autorizados |
| System.evtx | Eventos del sistema, drivers, servicios | Instalaciones, fallos, arranque |
| Application.evtx | Eventos de aplicaciones | Errores, instalaciones de apps |
| PowerShell/Operational | Comandos ejecutados | Scripts maliciosos, actividad admin |
| Microsoft-Windows-TaskScheduler | Tareas programadas | Persistencia de malware |
Event IDs Críticos
# Autenticación
4624 - Logon exitoso
4625 - Logon fallido
4648 - Logon con credenciales explícitas
4672 - Privilegios especiales asignados
# Gestión de cuentas
4720 - Cuenta de usuario creada
4732 - Usuario añadido a grupo privilegiado
# Ejecución
4688 - Nuevo proceso creado
7045 - Servicio instalado
# Anti-forense
1102 - Log de auditoría borradoEvent ID 4688
Si está habilitado el logging de línea de comandos, el Event ID 4688 registra el comando exacto ejecutado, permitiendo ver qué hizo un atacante o usuario.
Logs en Linux
Ubicación Principal
/var/log/Archivos Clave
| Archivo | Contenido |
|---|---|
| /var/log/auth.log | Autenticación, sudo, SSH |
| /var/log/syslog | Mensajes generales del sistema |
| /var/log/kern.log | Mensajes del kernel |
| /var/log/apache2/ | Logs del servidor web |
| /var/log/mysql/ | Logs de base de datos |
| ~/.bash_history | Historial de comandos del usuario |
Formato Syslog
Jan 18 10:32:15 servidor sshd[12345]: Accepted password for usuario from 192.168.1.100 port 22Campos: timestamp, hostname, servicio[PID], mensaje
Logs en macOS
Ubicación
/var/log/
~/Library/Logs/
/private/var/log/Archivos Relevantes
| Archivo | Contenido |
|---|---|
| system.log | Eventos del sistema |
| install.log | Instalaciones de software |
| wifi.log | Conexiones WiFi |
| Unified Logs | Sistema moderno de logging (log show) |
Análisis Forense de Logs
Preservación: Copiar logs antes de analizar (mantener originales intactos).
Parseo: Convertir logs a formato analizable (CSV, JSON, base de datos).
Normalización de tiempo: Verificar zona horaria, sincronizar con UTC.
Filtrado: Identificar eventos relevantes para la investigación.
Correlación: Cruzar eventos entre diferentes fuentes de logs.
Timeline: Construir cronología de eventos del incidente.
Herramientas de Análisis
Windows
| Herramienta | Uso |
|---|---|
| Event Viewer | Visualización nativa de logs |
| Log Parser | Consultas SQL sobre logs |
| EvtxECmd | Parseo a CSV/JSON (Eric Zimmerman) |
| Chainsaw | Detección de amenazas en EVTX |
| Hayabusa | Análisis rápido de EVTX |
Linux/Multiplataforma
| Herramienta | Uso |
|---|---|
| grep/awk | Búsqueda y extracción |
| Splunk | Análisis centralizado (enterprise) |
| ELK Stack | Elasticsearch, Logstash, Kibana |
| Loki/Grafana | Visualización de logs |
Consulta con Log Parser
-- Buscar logons fallidos de una IP
SELECT TimeGenerated, EventID, SourceName, Message
FROM Security
WHERE EventID = 4625
AND Message LIKE '%192.168.1.100%'
ORDER BY TimeGenerated DESCCaso Práctico: Investigación de Intrusión
Escenario
Una empresa detecta actividad sospechosa en un servidor. Sospechan de acceso no autorizado.
Análisis de Logs
1. Buscar logons anómalos (Security.evtx)
Event ID 4624 desde IP desconocida
Hora: 03:42 AM (fuera de horario)
Usuario: administrador
Método: RDP (Type 10)2. Actividad posterior al logon
03:43 - Event ID 4688: cmd.exe ejecutado
03:44 - Event ID 4688: whoami.exe
03:45 - Event ID 4688: net.exe user
03:47 - Event ID 7045: Nuevo servicio instalado (sospechoso.exe)3. Correlación con otros logs
- Firewall: Conexión entrante desde IP de Tor
- Antivirus: Detección ignorada de backdoor
- PowerShell: Script de exfiltración ejecutado
Timeline Reconstruido
| Hora | Evento |
|---|---|
| 03:42 | Acceso RDP con credenciales robadas |
| 03:43-03:50 | Reconocimiento del sistema |
| 03:51 | Instalación de backdoor persistente |
| 04:00-04:30 | Extracción de archivos sensibles |
| 04:31 | Desconexión |
Logs Borrados
Si el atacante intentó borrar logs, el Event ID 1102 registra este intento. La ausencia de logs en un período puede ser tan significativa como su presencia.
Retención y Configuración
Configuración Recomendada (Windows)
# Aumentar tamaño máximo de logs
wevtutil sl Security /ms:1073741824 # 1GB
# Habilitar logging de comandos
# Política: Administrative Templates > Windows Components >
# Windows PowerShell > Turn on PowerShell Script Block LoggingCentralización de Logs
Para investigaciones corporativas, los logs deben centralizarse:
- Windows Event Forwarding (WEF)
- Syslog a servidor central
- SIEM (Splunk, Sentinel, etc.)
Esto previene que un atacante borre evidencia.
Indicadores de Manipulación
| Indicador | Significado |
|---|---|
| Gaps en timestamps | Logs posiblemente borrados |
| Event ID 1102 | Log borrado explícitamente |
| Timestamps futuros | Manipulación del reloj |
| Inconsistencias | Eventos que deberían existir ausentes |
Conclusión
Los logs de sistema son la columna vertebral del análisis forense digital. Proporcionan un registro temporal de prácticamente toda la actividad del sistema. Un perito competente debe conocer la ubicación, formato, y contenido de los logs principales en Windows, Linux y macOS, así como las herramientas para analizarlos eficientemente y detectar signos de manipulación.
Última actualización: 18 de enero de 2026 Categoría: Forense Digital Código: LOG-001
Preguntas Frecuentes
¿Cuánto tiempo se conservan los logs del sistema?
Depende de la configuración. Por defecto, Windows conserva varios MB por log (días/semanas), Linux con logrotate rota logs semanalmente. Los servidores empresariales suelen retener logs meses o años.
¿Los logs pueden ser manipulados?
Sí, un atacante con privilegios puede borrar o modificar logs locales. Por eso es importante centralizar logs en un servidor SIEM y verificar integridad. Un perito puede detectar signos de manipulación.
¿Qué información contienen los logs de Windows?
Inicios de sesión, instalación de programas, errores del sistema, conexiones de red, ejecución de aplicaciones, cambios en cuentas de usuario, y cientos de otros eventos del sistema.
Términos Relacionados
Timeline Forense
Representación ordenada cronológicamente de todos los eventos relevantes extraídos de sistemas digitales, permitiendo reconstruir qué ocurrió, cuándo y en qué secuencia.
Windows Forense
Conjunto de técnicas y metodologías para el análisis forense de sistemas operativos Windows, incluyendo registro, eventos, artefactos de usuario, y recuperación de evidencia en entornos Microsoft.
Evidencia Digital
Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita