Herramientas de Analisis de Logs ZPA

klogg — Visor de Logs (GRATIS, Open Source) [RECOMENDADO]

Web: https://github.com/variar/klogg Licencia: GPL v3, 100% gratuito 3.3k estrellas | Fork activo de glogg | Windows, Linux, macOS

Caracteristicas principales

• Archivos de cualquier tamano (carga lazy, ~15 MB RAM para 100 GB)
• Regex search y highlight en tiempo real
• Filtros incrementales con colores
• Multiples vistas del mismo archivo con filtros distintos
• Watch en vivo de logs en escritura (tail -f con GUI)
• Decodificacion de encoding automatica
• Marcadores / bookmarks en lineas
• Export de fragmentos filtrados
• Integracion con editores externos
• C++ nativo, rapido

Instalacion en Windows

Descargar desde https://github.com/variar/klogg/releases — .exe o .zip portable.

Uso con logs ZPA

1. Archivo > Abrir .log (los .log.zip hay que descomprimir primero)
2. Ctrl+F para busqueda regex incremental
3. View > RegEx para filtros persistentes con highlight por color
4. Abrir multiples archivos en tabs para correlacionar
5. File > Follow file (o Ctrl+Shift+F) para watch en vivo durante incidentes

Regex utiles para ZPA en klogg

Buscar	Patron regex
Errores	\bERR\b
Warnings	\bWAR\b
DTLS	DTLS|dtls
Tunel	[Tt]unnel
Broker	[Bb]roker
DNS	DNS|dns
FQDN	FQDN
Filtro combinado errores	ERR|WAR|fail|error|crash

---

loxx — Visor de Logs (COMERCIAL)

Web: https://loxx.app Instalacion: C:\Program Files\mommos-software\loxx Licencia: Pago unico perpetuo, trial 30 dias ** Inspirado en Baretail (descontinuado)

Caracteristicas principales

• Archivos de cualquier tamano (100 GB+ usa ~15 MB RAM)
• Solo carga la parte visible + indice en memoria
• Watch en vivo de logs en escritura
• Quickfilter: seleccion de texto > Pass-Filter o Stop-Filter
• Multiples Stop-Filters simultaneos
• Vistas divididas del mismo archivo con filtros distintos
• Delta times entre lineas (requiere configurar pattern de timestamp)
• Apertura remota: HTTP(S), FTP(S), SCP
• Macros VBA y C# para automatizacion y graficas

Patron de timestamp ZPA para loxx

yyyy-MM-dd HH:mm:ss.ffffff(K)

Donde K captura el offset de zona horaria (+0200).

---

zpa2netlog — Conversor a Chromium NetLog

Binario: zpa2netlog.exe (2.2 MB, portable, sin dependencias) Codigo fuente: /opt/data/cache/zpa2netlog/ (Go)

Que hace

Convierte logs ZPA texto plano a formato JSON de Chromium NetLog para visualizar en netlog-viewer.appspot.com/#import.

Uso desde PowerShell

.\zpa2netlog.exe "C:\ruta\al\Zscaler-2026-05-11-13-13-21.zip"

O arrastrar el .zip encima de run.bat.

Tipos de input

Input	Descripcion
.zip del ZPA Support Bundle	Abre y procesa todo recursivamente
Directorio	Procesa todos los .log/.log.zip dentro
Archivo .log individual	Un solo log
Archivo .log.zip	Log comprimido dentro del bundle

Output

Genera zpa-netlog.json. Subir a: https://netlog-viewer.appspot.com/#import

Mapeo de eventos

Evento ZPA	Tipo NetLog	Seccion en Viewer
DTLS connect/fail	SSL_CONNECT (87)	SSL/TLS
DTLS → TLS fallback	SSL_CONNECT (87) END	SSL/TLS
Broker connect/error	TCP_CONNECT (31)	Sockets
DNS query/flush	HOST_RESOLVER (27) / DNS_CACHE_FLUSH (29)	DNS
FQDN_NO_MATCH	HOST_RESOLVER (27) END	DNS
Tunnel start/stop	REQUEST_ALIVE (1) / REQUEST_DONE (2)	Events
WFP filter	Custom (100)	Events
Certificate errors	SSL_CERT_VERIFY (88)	SSL/TLS

---

Comparativa rapida

	klogg	loxx	zpa2netlog + NetLog Viewer
Precio	Gratuito (GPL)	Comercial (trial 30d)	Gratuito
Tipo	Visor nativo GUI	Visor nativo GUI	Conversor + visor web
Input	.log texto plano	.log texto plano	.zip/.log/.directorio
Tamano archivos	Sin limite	Sin limite	Limitado por navegador
Filtros	Regex con colores	Quickfilter texto	Por tipo de evento
Timeline visual	No	No	Si, fases BEGIN/END
Watch en vivo	Si	Si	No
Regex avanzado	Si	No	No aplica
Cross-platform	Si (Win/Lin/Mac)	Solo Windows	Si (navegador)

Flujo recomendado

1. Inspeccion rapida → klogg (abrir .log, regex highlight, watch en vivo)
2. Analisis profundo → zpa2netlog → NetLog Viewer (timeline, correlacion, SSL/DNS)
3. Watch en vivo durante incidente → klogg con Follow file