Logging in Ton und Bild

Die Log-Dateien eines Internet-Rechners nicht zu lesen heißt, den Kopf in den Sand zu stecken vor den Hackern und Skript-Kiddies dieser Welt. Doch Hand auf's Herz: Wer nimmt sich die Protokolldateien schon freiwillig als Lektüre vor? Weitaus weniger Überwindung kostet es, wenn ein kleines Tool bei laufendem X-Window-System einen Überblick über die aktuellen Log-Einträge präsentiert. Dessen Name root-tail rührt daher, dass sich das Programm wie das Unix-Kommando tail benimmt und seine Ausgabe transparent über den Inhalt des Root-Fensters schreibt, so dass ein eventuelles Hintergrundbild sichtbar bleibt.

Seine Quellen holen Sie sich von http://www.goof.com/pcg/marc/root-tail.html oder von der Heft-CD. Hierbei handelt es sich nicht um das veraltete Original, sondern um eine fehlerbereinigte Version, die von Marc Lehmann gewartet wird.

tar xzf root-tail-0.2.tar.gz
cd root-tail-0.2
xmkmf
make
strip root-tail
su  (root-Passwort eingeben)

cp root-tail /usr/local/bin
cp root-tail.man /usr/local/man/man1/root-tail.1

groupadd adm
chgrp adm /var/log/messages
chmod 640 /var/log/messages

chgrp adm /usr/local/bin/root-tail
chmod 2711 /usr/local/bin/root-tail
exit

Die Installation hängt von der verwendeten Distribution ab (Listing 1). Dabei geht es hauptsächlich darum, Log-Dateien wie /var/log/messages für root-tail lesbar zu machen, ohne dass das Programm mit root-Rechten gestartet werden muss. Falls sie noch nicht existiert, erstellen Sie daher eine neue Gruppe adm und ändern die Gruppenzugehörigkeit der Log-Datei entsprechend (chgrp adm). Außerdem setzen Sie die Rechte von root-tail so, dass das Programm immer mit der Gruppenidentität adm läuft (chmod 2711, vergleiche auch Artikel "Alles Recht" ab Seite 31).

Guck mal, wer da loggt!

Nun können Sie sich die Datei /var/log/messages ins Root-Fenster holen:

root-tail /var/log/messages

Falls nicht sofort etwas erscheint, helfen Sie mit dem Programm logger nach:

logger "Das ist ein Test"

Wenig später sollte die Nachricht in der Log-Datei landen und von root-tail auf Ihrem Desktop angezeigt werden. Sollten Sie KDE benutzen, haben Sie leider das Nachsehen, da diese Desktop-Umgebung die unangenehme Eigenschaft besitzt, das Root-Fenster mit einem eigenen Hintergrundfenster zu verdecken. Alle anderen Desktop-Umgebungen oder Windowmanager arbeiten jedoch gut mit root-tail zusammen. Den ersten Test brechen Sie mit [Strg-c] ab.

Statt nur eine Datei kann root-tail auch mehrere gleichzeitig überwachen. Um diese besser auseinander zu halten, unterstützt das Programm eine Farbangabe für jedes Logfile, durch Komma getrennt nach dem Dateinamen. Der Aufruf

root-tail /var/log/messages,white /var/log/kern.log,green

zeigt die letzten Einträge aus den Dateien messages und kern.log in weißer bzw. grüner Schrift. Dazu gibt root-tail vor jedem Zeilenblock aus einer Datei jeweils deren Namen in eckigen Klammern an.

Der folgende Aufruf startet root-tail zum Überwachen von drei Dateien in jeweils anderer Farbe. Dazu unterlegt er die Schrift mit einem Schatten (-shade) und bestimmt die Größe und Position des Textbereichs im Root-Fenster (-g 80x25+0-52). Außerdem läuft das Programm dank der Option -f sofort als Daemon im Hintergrund:

root-tail -f -g 80x25+0-52 -fn 6x10 -shade /var/log/messages,white /var/log/daemon.log,yellow /var/log/kern.log,green

In Abbildung 1 zeigt root-tail Log-Einträge des Paketfilters, kurz danach wurde die PPP-Verbindung gekappt.

Abbildung 1: root-tail zeigt Log-Dateien im Root-Fenster

Piep-Show

Sie bevorzugen akustische Signale? Mit tailbeep reagiert Ihr Linux-System auf bestimmte Zeichenfolgen in einer Log-Datei mit einem Ton von wählbarer Frequenz und Dauer. Ein solches Tool eignet sich besonders für Rechner, die ohne Monitor und Tastatur ("headless") in der Ecke stehen, etwa dedizierte Router.

Den Quelltext des Programms laden Sie von http://soomka.com/ herunter oder bemühen wie üblich die Heft-CD. Die Installation ist weniger aufwendig als bei root-tail, da tailbeep nicht den Spagat zwischen root-Rechten und X-Display machen muss:

tar xzf tailbeep-0.44.tar.gz
cd tailbeep-0.44
make
strip tailbeep
su  (root-Passwort eingeben)

cp tailbeep /usr/local/bin
exit

Zum Testen geben Sie mit root-Rechten folgendes ein:

tailbeep -f /var/log/messages -s "test 123" -t /dev/tty12

Jetzt wartet tailbeep darauf, dass in der Datei /var/log/messages die Zeichenkette test 123 auftaucht. Als Terminal für den Piepton benutzt es /dev/tty12. Mit dem bereits verwendeten logger schreiben Sie nun diese Zeichenkette ins Log:

logger "test 123"

Daraufhin sollte sich tailbeep zu Wort melden. Wenn Ihnen die voreingestellte Tonfrequenz und -dauer nicht gefallen, verwenden Sie die Optionen -F frequenz (angegeben in Hertz) und -M dauer (angegeben in Millisekunden). Hat dieser Test funktioniert, brechen Sie das Programm mit [Strg-c] wieder ab.

tailbeep sollte zweckmäßigerweise als Daemon im Hintergrund laufen und kein explizites Startkommando erfordern. Daher bietet es sich an, ein kleines Init-Skript (vgl. Artikel ab Seite 26) zu schreiben.

Das auf der Heft-CD enthaltene Skript namens tailbeep liest die Datei /etc/tailbeep.conf, füllt fehlende Angaben für den Aufruf mit Default-Werten und startet tailbeep schließlich im Hintergrund (Option -d).

Ermitteln Sie nun mit dem Kommando grep -w initdefault /etc/inittab den Default-Runlevel. Wenn id:2:initdefault: zurückkommt (Standard bei Debian), wird beim Booten der Default-Runlevel 2 gestartet. Entsprechend legen Sie den Symlink in /etc/rc2.d an:

cd /etc/rc2.d
ln -s ../init.d/tailbeep S80tailbeep

SuSE, Red Hat und Mandrake verwenden als Default-Runlevel üblicherweise 3 oder 5. Außerdem lautet der Verzeichnisname für die Init-Skripte dort /etc/rc.d/init.d bzw. /etc/rc.d/rc5.d.

Nun erzeugen Sie die Konfigurationsdatei für den tailbeep-Dienst. Listing 2 zeigt ein Beispiel. Die wichtigste Zeile darin, PAT="SRC=", definiert als Suchmuster die Zeichenkette SRC=, so dass tailbeep auf die Log-Ausschriften des Paketfilters iptables anspricht. Unter der Voraussetzung, dass ein Paketfilter mit Log-Funktion läuft, können Sie nun Portscans hören.

# tailbeep-Konfigurationsdatei
#
# Welche Datei ueberwachen?
FILE="/var/log/messages"
# Piepen, sobald iptables etwas loggt:
PAT="SRC="
# 5 kHz Tonhoehe
FREQ="5000"
# aber nur kurz, damit es nicht nervt:
DUR="25"

Auch andere Suchmuster sind denkbar, etwa Accepted password for in der Datei /var/log/auth.log. Damit meldet das System ein erfolgreiches Login über ssh. Zusätzlich erlaubt die Option -x programmname das Ausführen eines beliebigen Programms, wenn das Muster gefunden wird. Allerdings sollten Sie mit dieser Option vorsichtig sein – immerhin wird das Programm mit root-Rechten ausgeführt.