Alle meine Logfiles

Log-Dateien bearbeiten

01.11.2001
Die dicksten Dateien findet der Anwender oft nicht in seinem Home-Verzeichnis, sondern auf dem Pfade /var/log, wo er solche Ressourcenfresser nie vermutet hätte.

Das Verzeichnis /var/log ist die Sammelstelle der Protokoll- und Log-Dateien, die den Administrator über jeden Schritt der Benutzer unterrichten.

Das Log-Buch

So verrät die Datei /var/log/messages auf die Sekunde genau, welcher User sich mit dem Befehl su einen Zugang als root erschleichen, oder mit dem Programm sudo eine Anwendung starten wollte, zu der er nicht berechtigt war:

root:~ # less /var/log/messages
 Aug 15 20:25:05 comone su: FAILED SU (to root) tux on /dev/pts/1
 Aug 15 20:26:11 comone sudo:   tux : 3 incorrect password attempts ;
 TTY=pts/1 ; PWD=/home/tux ; USER=root ;
 COMMAND=/usr/sbin/fetchnews -vvv

Freilich entdecken Sie in diesem Verzeichnis noch weitere Einträge. In der Datei /var/log/mail finden Sie die Meldungen Ihres Mail-Systems, und die Datei warn zeigt Ihnen, bei einigen Distributionen, die Lock-Files und fehlerhaften Prozesse. Hier treffen Sie auch unseren User tux wieder, beim vergeblichen Versuch, sudo zu starten.

Aber woher kommen diese Log-Dateien und wer schreibt Sie? Das Log-Buch erstellt der Daemon syslogd für Sie. Er lauscht im Hintergrund auf die Meldungen der verschiedenen Prozesse, die in Ihrem System arbeiten, und schreibt sie in Logfiles oder auf den Bildschirm einiger ausgewählter Benutzer.

Statten wir dem Daemon syslogd einen kurzen Besuch ab und schauen, wie er konfiguriert wird.

Abbildung 1: Die gesammelten Logfiles

Der Autor des Log-Buchs: syslogd

Der Ort, an dem Sie syslogd konfigurieren, ist die Datei /etc/syslogd.conf. Eine Zeile in der Konfigurationsdatei setzt sich aus verschiedenen Parametern zusammen, die in den Manual-Seiten von syslogd facility, priority und action genannt werden. Jede dieser Zeilen folgt dem Muster:

facility.priority     action

Durch diese Einstellungen liest syslogd, aus welcher Ecke Ihres Rechner eine Meldung kommt (facility), wie die Dringlichkeit dieser Nachricht zu bewerten ist (priority) und wohin die Ausgabe notiert wird (action). Damit wir an dieser Stelle nicht im Abstrakten verharren, sehen wir uns eine Zeile aus der Datei /etc/syslogd.conf an:

kern.warning;*.err;authpriv.none    /dev/tty10

Alle Nachrichten, mit dem Kernel als Absender und einer Dringlichkeit von warning oder höher, schreibt syslogd nun in die Gerätedatei /dev/tty10, die Sie auf der Textkonsole mit [Alt]+[F10] einsehen können. Dort landen auch alle Meldungen der Dringlichkeit err (für error) oder höher, außer den Sicherheits- und Autorisations-Meldungen (authpriv.none).

Verschiedene facility.priority-Kombinationen dürfen durchaus in einer Zeile stehen, wenn Sie sie, wie in unserem Beispiel, durch das Semikolon vorneinander trennen. Auch dem Einsatz des Asterisk * als Joker steht nichts im Wege, gleichgültig in welchem Parameter Sie das Freizeichen einsetzen:

*.*    -/var/log/allmsg

Diese Zeile veranlasst syslogd, alle Meldungen mit jeder Dringlichkeit in die Datei /var/log/allmsg zu schreiben. Das Minuszeichen vor dem Pfad des Logfiles schaltet die Synchronisation des Dateisystems ab, die nach jedem Eintrag des syslogd startet. Die Synchronisation ist ein wichtiger Teil des Sicherheitskonzeptes, damit selbst nach einem Systemabsturz die Log-Dateien auf dem Stand vor der Katastrophe sind. Sie sollten die Option mit Bedacht und nur bei Dateien mit geringer Priorität anwenden.

Damit syslogd den Benutzern am Rechner sofort alle systembedrohlichen Nachrichten auf die Bildschirme wirft, setzen Sie das Jokerzeichen * ebenfalls für den Parameter action ein:

*.=alert    *

In unserem neuen Eintrag ist das Gleichheitszeichen = als weitere Möglichkeit aufgetaucht. Mit dieser Option leitet syslogd ausschließlich Meldungen der Dringlichkeitsstufe alert weiter. Ohne den Einsatz des Gleichheitszeichens würde die Regel für Meldungen der Ebene alert und darüber gelten. Natürlich richtet syslogd auch an bestimmte Benutzer eine Nachricht aus:

mail.*     root,mailmaster

Alle Meldungen, die von Mail-System herrühren, leitet syslogd an den Administrator root und den User mailmaster weiter. Die Meldungen müssen jedoch nicht innerhalb eines Rechners bleiben. In einem Netzwerk senden die syslogd-Daemonen der einzelnen Plätze ihre Nachrichten auch an den syslogd eines anderen Rechners, wenn Sie den Rechnernamen definieren:

*.=warning;*.=err    @numberone

Mit dieser Konfiguration schickt der syslogd des lokalen Rechners alle Nachrichten der genannten Dringlichkeitsstufen an den syslogd des Rechners numberone.

Wie staffeln sich die Prioritäten der Meldungen, und wie sehen die Stichworte der facility-Parameter aus, an denen syslogd die Herkunft der Nachrichten ausmacht? Die Tabelle 1 liefert Ihnen eine Übersicht der Dringlichkeitsstufen in fallender Wichtigkeit, und Tabelle 2 listet die Schlüsselwörter der Herkunft auf.

Weitere Beispiele zur Konfiguration gelangen durch den Befehl man syslog.conf zur Ausgabe im xterm oder der Textkonsole und können dort von Ihnen eingesehen werden.

Tabelle 1: Dringlichkeit der Meldungen

emerg Die letzte Meldung, denn Ihr System ist hinüber
alert Ihr Eingreifen ist dringend erforderlich
crit Eine kritische Nachricht
err Fehlermeldungen aus dem Systembetrieb
warning Warnungungen aus dem Systembetrieb
notice Bedeutsamere Meldungen aus dem normalen Systembetrieb
info Protokolle des normalen Systembetriebs
debug Debuginformationen bei einer Fehlersuche
none Schließt den vorangehenden facility-Parameter von der Regel aus

Tabelle 2: Herkunft der Meldungen

auth Nachrichten der Sicherheit und Autorisation
authpriv Vertrauliche Sicherheitsmeldungen
cron Meldungen der Daemonen cron und at
daemon Nachrichten anderer System-Daemonen
kern Systemnachrichten vom Kernel
local0-local7 reserviert zur lokalen Verwendung
lpr Nachrichten vom Drucker-System
mail Meldungen vom Mail-System
news Mitteilungen vom News-System
syslog Interne, von syslogd erzeugte Nachrichten
user Meldungen der Anwenderprogramme
uucp Nachrichten vom UUCP-System

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Zugriffsdaten auswerten mit Webalizer
    Wer heutzutage eine erfolgreiche Webseite betreiben will, muss nicht nur auf Barrierefreiheit, Browserunabhängigkeit und Suchmaschinenoptimierung achten, sondern auch die Besuche auswerten. Als Klassiker der Logfile-Analyse gilt Webalizer.
  • Jobs mit Cron abarbeiten
    So chaotisch Linuxer/innen auch manchmal sein mögen – meistens werkelt unbeachtet im Hintergrund ein Pünktlichkeitsfanatiker namens cron(d) auf ihren Rechnern. Ihn zu nutzen, kann eine Menge langweilige Arbeit ersparen.
  • Vorbereitungen für den Fall des Falles: Was tun, wenn der Rechner mutmaßlich gehackt wurde?
    Nach einem Einbruch auf einem Linux-Rechner kann der Administrator diesen wie ein Gerichtsmediziner untersuchen und analysieren. Der Artikel zeigt die ersten Schritte und die erforderlichen Werkzeuge dafür.
  • Unnötige Systemdienste abschalten
    Der Feind lauert überall: Nicht nur das Einrichten einer Firewall oder der Einsatz eines Viren-Scanners, sondern auch das Abschalten von Diensten trägt dazu bei, den eigenen Rechner zu schützen. Wir zeigen, wie Sie Ihren Linux-PC ein bisschen besser abschotten.
  • Cron, At
    Cron- und At-Jobs automatisieren Abläufe auf dem Linux-System, rotieren Logfiles, erstellen automatisch Backups und wecken Sie morgens mit der eigenen MP3-Sammlung – auf Wunsch nur an bestimmten Tagen. Wir zeigen, wie Sie Dinge punktgenau erledigen lassen.
Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...