log.jpg

Logging in Ton und Bild

out of the box

01.12.2002
Jedes Linux-System schreibt Log-Dateien. Doch wer guckt sich diese schon regelmäßig an? root-tail und tailbeep helfen dabei, wichtige Ereignisse nicht zu verpassen.

out of the box

Es gibt tausende Tools und Utilities für Linux. "out of the box" pickt sich die Rosinen raus und stellt pro Monat ein Progrämmchen vor, das wir für schlichtweg unentbehrlich oder aber zu Unrecht wenig beachtet halten.

Die Log-Dateien eines Internet-Rechners nicht zu lesen heißt, den Kopf in den Sand zu stecken vor den Hackern und Skript-Kiddies dieser Welt. Doch Hand auf's Herz: Wer nimmt sich die Protokolldateien schon freiwillig als Lektüre vor? Weitaus weniger Überwindung kostet es, wenn ein kleines Tool bei laufendem X-Window-System einen Überblick über die aktuellen Log-Einträge präsentiert. Dessen Name root-tail rührt daher, dass sich das Programm wie das Unix-Kommando tail benimmt und seine Ausgabe transparent über den Inhalt des Root-Fensters schreibt, so dass ein eventuelles Hintergrundbild sichtbar bleibt.

Seine Quellen holen Sie sich von http://www.goof.com/pcg/marc/root-tail.html oder von der Heft-CD. Hierbei handelt es sich nicht um das veraltete Original, sondern um eine fehlerbereinigte Version, die von Marc Lehmann gewartet wird.

Listing 1

root-tail-Installation

tar xzf root-tail-0.2.tar.gz
cd root-tail-0.2
xmkmf
make
strip root-tail
su  (root-Passwort eingeben)
cp root-tail /usr/local/bin
cp root-tail.man /usr/local/man/man1/root-tail.1

Nur bei Mandrake, Red Hat und SuSE:

groupadd adm
chgrp adm /var/log/messages
chmod 640 /var/log/messages

Bei allen:

chgrp adm /usr/local/bin/root-tail
chmod 2711 /usr/local/bin/root-tail
exit

Die Installation hängt von der verwendeten Distribution ab (Listing 1). Dabei geht es hauptsächlich darum, Log-Dateien wie /var/log/messages für root-tail lesbar zu machen, ohne dass das Programm mit root-Rechten gestartet werden muss. Falls sie noch nicht existiert, erstellen Sie daher eine neue Gruppe adm und ändern die Gruppenzugehörigkeit der Log-Datei entsprechend (chgrp adm). Außerdem setzen Sie die Rechte von root-tail so, dass das Programm immer mit der Gruppenidentität adm läuft (chmod 2711, vergleiche auch Artikel "Alles Recht" ab Seite 31).

Guck mal, wer da loggt!

Nun können Sie sich die Datei /var/log/messages ins Root-Fenster holen:

root-tail /var/log/messages

Falls nicht sofort etwas erscheint, helfen Sie mit dem Programm logger nach:

logger "Das ist ein Test"

Wenig später sollte die Nachricht in der Log-Datei landen und von root-tail auf Ihrem Desktop angezeigt werden. Sollten Sie KDE benutzen, haben Sie leider das Nachsehen, da diese Desktop-Umgebung die unangenehme Eigenschaft besitzt, das Root-Fenster mit einem eigenen Hintergrundfenster zu verdecken. Alle anderen Desktop-Umgebungen oder Windowmanager arbeiten jedoch gut mit root-tail zusammen. Den ersten Test brechen Sie mit [Strg-c] ab.

Statt nur eine Datei kann root-tail auch mehrere gleichzeitig überwachen. Um diese besser auseinander zu halten, unterstützt das Programm eine Farbangabe für jedes Logfile, durch Komma getrennt nach dem Dateinamen. Der Aufruf

root-tail /var/log/messages,white /var/log/kern.log,green

zeigt die letzten Einträge aus den Dateien messages und kern.log in weißer bzw. grüner Schrift. Dazu gibt root-tail vor jedem Zeilenblock aus einer Datei jeweils deren Namen in eckigen Klammern an.

Der folgende Aufruf startet root-tail zum Überwachen von drei Dateien in jeweils anderer Farbe. Dazu unterlegt er die Schrift mit einem Schatten (-shade) und bestimmt die Größe und Position des Textbereichs im Root-Fenster (-g 80x25+0-52). Außerdem läuft das Programm dank der Option -f sofort als Daemon im Hintergrund:

root-tail -f -g 80x25+0-52 -fn 6x10 -shade /var/log/messages,white /var/log/daemon.log,yellow /var/log/kern.log,green

In Abbildung 1 zeigt root-tail Log-Einträge des Paketfilters, kurz danach wurde die PPP-Verbindung gekappt.

Abbildung 1: root-tail zeigt Log-Dateien im Root-Fenster

Piep-Show

Sie bevorzugen akustische Signale? Mit tailbeep reagiert Ihr Linux-System auf bestimmte Zeichenfolgen in einer Log-Datei mit einem Ton von wählbarer Frequenz und Dauer. Ein solches Tool eignet sich besonders für Rechner, die ohne Monitor und Tastatur ("headless") in der Ecke stehen, etwa dedizierte Router.

Den Quelltext des Programms laden Sie von http://soomka.com/ herunter oder bemühen wie üblich die Heft-CD. Die Installation ist weniger aufwendig als bei root-tail, da tailbeep nicht den Spagat zwischen root-Rechten und X-Display machen muss:

tar xzf tailbeep-0.44.tar.gz
cd tailbeep-0.44
make
strip tailbeep
su  (root-Passwort eingeben)
cp tailbeep /usr/local/bin
exit

Zum Testen geben Sie mit root-Rechten folgendes ein:

tailbeep -f /var/log/messages -s "test 123" -t /dev/tty12

Jetzt wartet tailbeep darauf, dass in der Datei /var/log/messages die Zeichenkette test 123 auftaucht. Als Terminal für den Piepton benutzt es /dev/tty12. Mit dem bereits verwendeten logger schreiben Sie nun diese Zeichenkette ins Log:

logger "test 123"

Daraufhin sollte sich tailbeep zu Wort melden. Wenn Ihnen die voreingestellte Tonfrequenz und -dauer nicht gefallen, verwenden Sie die Optionen -F frequenz (angegeben in Hertz) und -M dauer (angegeben in Millisekunden). Hat dieser Test funktioniert, brechen Sie das Programm mit [Strg-c] wieder ab.

tailbeep sollte zweckmäßigerweise als Daemon im Hintergrund laufen und kein explizites Startkommando erfordern. Daher bietet es sich an, ein kleines Init-Skript (vgl. Artikel ab Seite 26) zu schreiben.

Das auf der Heft-CD enthaltene Skript namens tailbeep liest die Datei /etc/tailbeep.conf, füllt fehlende Angaben für den Aufruf mit Default-Werten und startet tailbeep schließlich im Hintergrund (Option -d).

Ermitteln Sie nun mit dem Kommando grep -w initdefault /etc/inittab den Default-Runlevel. Wenn id:2:initdefault: zurückkommt (Standard bei Debian), wird beim Booten der Default-Runlevel 2 gestartet. Entsprechend legen Sie den Symlink in /etc/rc2.d an:

cd /etc/rc2.d
ln -s ../init.d/tailbeep S80tailbeep

SuSE, Red Hat und Mandrake verwenden als Default-Runlevel üblicherweise 3 oder 5. Außerdem lautet der Verzeichnisname für die Init-Skripte dort /etc/rc.d/init.d bzw. /etc/rc.d/rc5.d.

Nun erzeugen Sie die Konfigurationsdatei für den tailbeep-Dienst. Listing 2 zeigt ein Beispiel. Die wichtigste Zeile darin, PAT="SRC=", definiert als Suchmuster die Zeichenkette SRC=, so dass tailbeep auf die Log-Ausschriften des Paketfilters iptables anspricht. Unter der Voraussetzung, dass ein Paketfilter mit Log-Funktion läuft, können Sie nun Portscans hören.

Listing 2

/etc/tailbeep.conf

# tailbeep-Konfigurationsdatei
#
# Welche Datei ueberwachen?
FILE="/var/log/messages"
# Piepen, sobald iptables etwas loggt:
PAT="SRC="
# 5 kHz Tonhoehe
FREQ="5000"
# aber nur kurz, damit es nicht nervt:
DUR="25"

Auch andere Suchmuster sind denkbar, etwa Accepted password for in der Datei /var/log/auth.log. Damit meldet das System ein erfolgreiches Login über ssh. Zusätzlich erlaubt die Option -x programmname das Ausführen eines beliebigen Programms, wenn das Muster gefunden wird. Allerdings sollten Sie mit dieser Option vorsichtig sein – immerhin wird das Programm mit root-Rechten ausgeführt.

Glossar

tail

Zeigt das Ende einer Datei an. In einem speziellen "Verfolgermodus" (Option -f) registriert es, wenn etwas an die Datei angehängt wird, und aktualisiert die Anzeige entsprechend.

Root-Fenster

Dieses Fenster wird beim Starten des X-Servers als erstes angezeigt und bildet den Hintergrund des X-Desktops.

Daemon

"Disk and execution monitor", ein Dienstprogramm (Server), das ohne interaktive Eingaben auskommt.

Paketfilter

Ein (im Linux-Kernel implementierter) Firewall-Typ, der sich jedes ein- und ausgehende Netzwerk-Datenpaket anschaut und anhand von Regeln entscheidet, ob es angenommen oder verworfen wird.

PPP

"Point to Point Protocol", ein Protokoll zum Übertragen von IP-Paketen über eine serielle Leitung wie Nullmodem oder Modem. PPP kommt auch beim DSL-Anschluss mit PPP über Ethernet (PPPoE) zum Einsatz.

Symlink

Eine spezielle Datei, deren Inhalt eine Pfadangabe (das Ziel des Verweises) ist. Versucht man, den Inhalt eines mit dem Kommando ln -s erzeugten "symbolischen Links" zu lesen oder zu schreiben, greift das System in Wahrheit auf dessen Ziel zu.

Portscan

Automatisches Abklappern eines am Netz befindlichen Rechners auf offene Ports, also Schnittstellen, hinter denen ein Netzwerkdienst darauf wartet, angesprochen zu werden. Von Fremden durchgeführt ist das meist der Versuch, potentiell angreifbare Stellen des Rechners zu finden.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Jo´s alternativer Desktop
    Wer kennt das nicht: Irgend etwas am System hängt, und ein – lästiger – Blick in die Log Files unter /var/log/ ist nötig, um den Übeltäter einzukreisen. Auch ohne akute Probleme ist es deutlich besser, immer informiert zu sein, um nicht erst nach einem "zu spät" in den Log-Files Ursachenforschung betreiben zu müssen. Mit "root-tail" erhalten Sie ohne Mausklicks alle gewünschten Informationen aus Log-Dateien – einfach auf dem Desktophintergrund.
  • Tailbeep 0.45 mit Text-to-Speech-Support
    Tailbeep ist ein einfaches Tool für den Admin, das beim Auftauchen eines Suchbegriffs in einem Logfile piepst. Nun gibt es Version 0.45, die auch eine Schnittstelle zur Sprachausgabe Festival bietet.
  • Zu Befehl
    Auch wenn sich viele Dinge bequem über grafische Oberflächen wie KDE oder GNOME regeln lassen – wer sein Linux-System richtig ausreizen möchte, kommt um die Kommandozeile nicht herum. Abgesehen davon gibt es auch sonst viele Situationen, wo es gut ist, sich im Befehlszeilendschungel ein wenig auszukennen.
  • Root-Rechte mit Op vergeben
    Wer unter Linux häufig Befehle als Root absetzt, entdeckt schnell das Kommando Sudo, das viele Administrationsaufgaben erleichtert. Noch komfortabler ist das Tool Op.
Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.