Log-Dateien bearbeiten

Alle meine Logfiles

Die dicksten Dateien findet der Anwender oft nicht in seinem Home-Verzeichnis, sondern auf dem Pfade /var/log, wo er solche Ressourcenfresser nie vermutet hätte.

Das Verzeichnis /var/log ist die Sammelstelle der Protokoll- und Log-Dateien, die den Administrator über jeden Schritt der Benutzer unterrichten.

Das Log-Buch

So verrät die Datei /var/log/messages auf die Sekunde genau, welcher User sich mit dem Befehl su einen Zugang als root erschleichen, oder mit dem Programm sudo eine Anwendung starten wollte, zu der er nicht berechtigt war:

root:~ # less /var/log/messages
 Aug 15 20:25:05 comone su: FAILED SU (to root) tux on /dev/pts/1
 Aug 15 20:26:11 comone sudo:   tux : 3 incorrect password attempts ;
 TTY=pts/1 ; PWD=/home/tux ; USER=root ;
 COMMAND=/usr/sbin/fetchnews -vvv

Freilich entdecken Sie in diesem Verzeichnis noch weitere Einträge. In der Datei /var/log/mail finden Sie die Meldungen Ihres Mail-Systems, und die Datei warn zeigt Ihnen, bei einigen Distributionen, die Lock-Files und fehlerhaften Prozesse. Hier treffen Sie auch unseren User tux wieder, beim vergeblichen Versuch, sudo zu starten.

Aber woher kommen diese Log-Dateien und wer schreibt Sie? Das Log-Buch erstellt der Daemon syslogd für Sie. Er lauscht im Hintergrund auf die Meldungen der verschiedenen Prozesse, die in Ihrem System arbeiten, und schreibt sie in Logfiles oder auf den Bildschirm einiger ausgewählter Benutzer.

Statten wir dem Daemon syslogd einen kurzen Besuch ab und schauen, wie er konfiguriert wird.

Abbildung 1: Die gesammelten Logfiles

Der Autor des Log-Buchs: syslogd

Der Ort, an dem Sie syslogd konfigurieren, ist die Datei /etc/syslogd.conf. Eine Zeile in der Konfigurationsdatei setzt sich aus verschiedenen Parametern zusammen, die in den Manual-Seiten von syslogd facility, priority und action genannt werden. Jede dieser Zeilen folgt dem Muster:

facility.priority     action

Durch diese Einstellungen liest syslogd, aus welcher Ecke Ihres Rechner eine Meldung kommt (facility), wie die Dringlichkeit dieser Nachricht zu bewerten ist (priority) und wohin die Ausgabe notiert wird (action). Damit wir an dieser Stelle nicht im Abstrakten verharren, sehen wir uns eine Zeile aus der Datei /etc/syslogd.conf an:

kern.warning;*.err;authpriv.none    /dev/tty10

Alle Nachrichten, mit dem Kernel als Absender und einer Dringlichkeit von warning oder höher, schreibt syslogd nun in die Gerätedatei /dev/tty10, die Sie auf der Textkonsole mit [Alt]+[F10] einsehen können. Dort landen auch alle Meldungen der Dringlichkeit err (für error) oder höher, außer den Sicherheits- und Autorisations-Meldungen (authpriv.none).

Verschiedene facility.priority-Kombinationen dürfen durchaus in einer Zeile stehen, wenn Sie sie, wie in unserem Beispiel, durch das Semikolon vorneinander trennen. Auch dem Einsatz des Asterisk * als Joker steht nichts im Wege, gleichgültig in welchem Parameter Sie das Freizeichen einsetzen:

*.*    -/var/log/allmsg

Diese Zeile veranlasst syslogd, alle Meldungen mit jeder Dringlichkeit in die Datei /var/log/allmsg zu schreiben. Das Minuszeichen vor dem Pfad des Logfiles schaltet die Synchronisation des Dateisystems ab, die nach jedem Eintrag des syslogd startet. Die Synchronisation ist ein wichtiger Teil des Sicherheitskonzeptes, damit selbst nach einem Systemabsturz die Log-Dateien auf dem Stand vor der Katastrophe sind. Sie sollten die Option mit Bedacht und nur bei Dateien mit geringer Priorität anwenden.

Damit syslogd den Benutzern am Rechner sofort alle systembedrohlichen Nachrichten auf die Bildschirme wirft, setzen Sie das Jokerzeichen * ebenfalls für den Parameter action ein:

*.=alert    *

In unserem neuen Eintrag ist das Gleichheitszeichen = als weitere Möglichkeit aufgetaucht. Mit dieser Option leitet syslogd ausschließlich Meldungen der Dringlichkeitsstufe alert weiter. Ohne den Einsatz des Gleichheitszeichens würde die Regel für Meldungen der Ebene alert und darüber gelten. Natürlich richtet syslogd auch an bestimmte Benutzer eine Nachricht aus:

mail.*     root,mailmaster

Alle Meldungen, die von Mail-System herrühren, leitet syslogd an den Administrator root und den User mailmaster weiter. Die Meldungen müssen jedoch nicht innerhalb eines Rechners bleiben. In einem Netzwerk senden die syslogd-Daemonen der einzelnen Plätze ihre Nachrichten auch an den syslogd eines anderen Rechners, wenn Sie den Rechnernamen definieren:

*.=warning;*.=err    @numberone

Mit dieser Konfiguration schickt der syslogd des lokalen Rechners alle Nachrichten der genannten Dringlichkeitsstufen an den syslogd des Rechners numberone.

Wie staffeln sich die Prioritäten der Meldungen, und wie sehen die Stichworte der facility-Parameter aus, an denen syslogd die Herkunft der Nachrichten ausmacht? Die Tabelle 1 liefert Ihnen eine Übersicht der Dringlichkeitsstufen in fallender Wichtigkeit, und Tabelle 2 listet die Schlüsselwörter der Herkunft auf.

Weitere Beispiele zur Konfiguration gelangen durch den Befehl man syslog.conf zur Ausgabe im xterm oder der Textkonsole und können dort von Ihnen eingesehen werden.

Tabelle 1: Dringlichkeit der Meldungen

emerg Die letzte Meldung, denn Ihr System ist hinüber
alert Ihr Eingreifen ist dringend erforderlich
crit Eine kritische Nachricht
err Fehlermeldungen aus dem Systembetrieb
warning Warnungungen aus dem Systembetrieb
notice Bedeutsamere Meldungen aus dem normalen Systembetrieb
info Protokolle des normalen Systembetriebs
debug Debuginformationen bei einer Fehlersuche
none Schließt den vorangehenden facility-Parameter von der Regel aus

Tabelle 2: Herkunft der Meldungen

auth Nachrichten der Sicherheit und Autorisation
authpriv Vertrauliche Sicherheitsmeldungen
cron Meldungen der Daemonen cron und at
daemon Nachrichten anderer System-Daemonen
kern Systemnachrichten vom Kernel
local0-local7 reserviert zur lokalen Verwendung
lpr Nachrichten vom Drucker-System
mail Meldungen vom Mail-System
news Mitteilungen vom News-System
syslog Interne, von syslogd erzeugte Nachrichten
user Meldungen der Anwenderprogramme
uucp Nachrichten vom UUCP-System

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Zugriffsdaten auswerten mit Webalizer
    Wer heutzutage eine erfolgreiche Webseite betreiben will, muss nicht nur auf Barrierefreiheit, Browserunabhängigkeit und Suchmaschinenoptimierung achten, sondern auch die Besuche auswerten. Als Klassiker der Logfile-Analyse gilt Webalizer.
  • Jobs mit Cron abarbeiten
    So chaotisch Linuxer/innen auch manchmal sein mögen – meistens werkelt unbeachtet im Hintergrund ein Pünktlichkeitsfanatiker namens cron(d) auf ihren Rechnern. Ihn zu nutzen, kann eine Menge langweilige Arbeit ersparen.
  • Vorbereitungen für den Fall des Falles: Was tun, wenn der Rechner mutmaßlich gehackt wurde?
    Nach einem Einbruch auf einem Linux-Rechner kann der Administrator diesen wie ein Gerichtsmediziner untersuchen und analysieren. Der Artikel zeigt die ersten Schritte und die erforderlichen Werkzeuge dafür.
  • Unnötige Systemdienste abschalten
    Der Feind lauert überall: Nicht nur das Einrichten einer Firewall oder der Einsatz eines Viren-Scanners, sondern auch das Abschalten von Diensten trägt dazu bei, den eigenen Rechner zu schützen. Wir zeigen, wie Sie Ihren Linux-PC ein bisschen besser abschotten.
  • Cron, At
    Cron- und At-Jobs automatisieren Abläufe auf dem Linux-System, rotieren Logfiles, erstellen automatisch Backups und wecken Sie morgens mit der eigenen MP3-Sammlung – auf Wunsch nur an bestimmten Tagen. Wir zeigen, wie Sie Dinge punktgenau erledigen lassen.
Kommentare

Infos zur Publikation

LU 09/2016: Ciao, Windows!

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

NOKIA N900 einziges Linux-Smartphone? Kein Support mehr
Wimpy *, 28.08.2016 11:09, 0 Antworten
Ich habe seit vielen Jahren ein Nokia N900 mit Maemo-Linux. Es funktioniert einwandfrei, aber ich...
Scannen nicht möglich
Werner Hahn, 19.08.2016 22:33, 3 Antworten
Laptop DELL Latitude E6510 mit Ubuntu 16,04, Canon Pixma MG5450. Das Drucken funktioniert, Scann...
Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...