Rotación de Logs 

Los archivos de log pueden rápidamente consumir gran cantidad de almacenamiento en un servidor centralizado de logs, (lo cual es relativamente costoso), de igual forma determinar que archivo de log en particular en un futuro será útil en una investigación o proceso legal es muy difícil.  La técnica de rotación de logs permite limitar el volumen de datos que se tienen disponibles para examinar fácilmente, en este caso en el servidor de logs, y además controlar el número de archivos de logs que estarán expuestos a un posible daño por parte de un intruso. [4]

La estrategia de rotación de logs se basa principalmente en cambiar la ubicación de los archivos de logs a una nueva locación y renombrarlos de esta manera podrán reflejar la rotación.

La rotación de logs es un  evento que toma lugar luego de un intervalo de tiempo determinado, este intervalo se puede establecer generalmente en horas, días, semanas inclusive meses, en este aspecto entra en juego los requerimientos propios del sistema al cual se quiere proteger, la cantidad y criticidad de la información producida.

Ya que la rotación depende del tiempo, es muy importante que tanto los servidores, como los dispositivos que producen los logs posean una alta exactitud en el tiempo. Para esto se puede utilizar el servicio Network Time protocol NTP[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn7 [7]]].

El NTP permite a los dispositivos sincronizar sus relojes con un servidor de tiempo centralizado, el cual a su vez esta sincronizado con un sistema de posición global (Global Position System GPS), esta combinación asegura una exactitud de milisegundos.  Este aspecto es de vital importancia a la hora de la rotación de logs y más aún para la correlación de los mismos y la utilización de logs como evidencia en un caso legal[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn8 [8]]].

Una rotación exitosa generará un número de logs que contendrán datos para la rotación de un log en particular.  Como existe a generación de nuevos archivos a partir de log “Rotado”, es muy importante prestar especial atención al nombrado de estos archivos de esta forma puedan ser de fácil identificación y clasificación a la hora de requerirlos.

Un sencillo ejemplo de cómo nombrar los archivos puede ser el siguiente: nombre del archivo: NT_System.log, luego de una rotación se generaran archivos que se podrán nombrar, en este caso una rotación programa en un intervalo de días, de la siguiente manera 06-14-2001-NT- System.log, 06-15-2001-NT- System.log, 06-16-2001-NT- System.log, etc.

Ahora cuando un incidente o evento ocurre, existe una manera correcta y eficiente de buscar información acuerdo al W5. Los logs se encontraran centralizados, organizados y exactos en el tiempo.