IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Qué registrar y por cuánto tiempo: logging útil sin quebrar el presupuesto

09/07/2026 2 min de lectura Rubén Espinoza

Con los logs se cometen dos errores opuestos y ambos caros. Uno es registrarlo todo "por si acaso": el volumen se dispara, la factura de almacenamiento también, y encontrar algo útil se vuelve buscar una aguja en un pajar que tú mismo construiste. El otro es no registrar casi nada, y descubrir el día del incidente que no hay rastro de lo que pasó. El logging útil vive en medio, y ese medio es una decisión, no un default.

Qué registrar

La pregunta guía no es "¿qué puedo capturar?", sino "¿qué necesitaría para investigar un incidente o demostrar cumplimiento?". Con ese criterio, la prioridad suele ser clara:

  • Seguridad y autenticación: accesos, intentos fallidos, cambios de privilegios. Es lo primero que se mira tras un incidente.
  • Cambios de configuración: quién tocó qué y cuándo. La causa raíz suele esconderse aquí.
  • Errores de sistemas críticos: lo que anticipa una caída.
  • Eventos exigidos por cumplimiento: lo que una norma o contrato te obliga a poder mostrar.

Y con el nivel de detalle adecuado a cada fuente: no todo merece registro exhaustivo.

Por cuánto tiempo

La retención rara vez es un solo número. Lo habitual es un esquema por capas que equilibra acceso y costo:

  • Caliente: consulta rápida para las semanas o meses recientes, que es cuando más se investiga.
  • Frío: almacenamiento más barato para periodos largos, con acceso más lento.
  • Archivo: largo plazo, cuando una regulación o contrato lo exige.

El plazo de cada capa sale de cruzar tres cosas: necesidad forense, obligaciones de cumplimiento y costo. Ignorar cualquiera de las tres desequilibra el diseño.

El logging es la memoria del incidente

Cuando algo pasa, tu runbook de respuesta solo es tan bueno como los datos que puede consultar: sin los logs correctos, el triage es a ciegas. Por eso definir qué registrar y cuánto guardarlo no es un tema de almacenamiento, sino de capacidad de respuesta. Diseñar ese equilibrio —útil, defendible y sostenible en costo— es parte de nuestro NOC/SOC administrado. La meta no es tener más logs: es tener los que sirven cuando los necesitas.

#logging #retencion #siem #cumplimiento #logs

Preguntas frecuentes

¿Qué eventos vale la pena registrar?

Como prioridad: eventos de seguridad y autenticación (accesos, fallos, cambios de privilegios), cambios de configuración, errores de sistemas críticos y actividad relevante para cumplimiento. La meta no es capturarlo todo, sino registrar lo que serviría para investigar un incidente o demostrar cumplimiento, con el nivel de detalle adecuado a cada fuente.

¿Cuánto tiempo se deben conservar los logs?

Depende del uso y de las obligaciones. Es común un esquema por capas: acceso rápido ("caliente") para semanas o pocos meses, almacenamiento más barato ("frío") para más tiempo, y archivo de largo plazo cuando una regulación o contrato lo exige. El periodo se define cruzando necesidad forense, requisitos de cumplimiento y costo de retención.

¿Por qué no simplemente registrar todo por si acaso?

Porque "todo" cuesta caro en almacenamiento y procesamiento, y además genera tanto ruido que dificulta encontrar lo importante. Un exceso de logs sin criterio no mejora tu capacidad de respuesta; la entierra. El valor está en registrar lo correcto y poder consultarlo, no en acumular volumen.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Cifrado en reposo y en tránsito: qué protege cada uno y contra qué no
Umbrales de monitoreo: ni alertar por todo ni callar lo importante
Control de acceso a datos: mínimo privilegio sin frenar el trabajo