Protokollierung: Unterschied zwischen den Versionen
Michi (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Michi (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
Zeile 15: | Zeile 15: | ||
Das Programm [[logrotate]] wird über einen Cronjob aufgerufen, benennt jede von ihm verwaltete Datei regelmässig um und erstellt eine neue leere Datei. Alte Dateien werden mit [[gzip]] gepackt, um so Speicherplatz zu sparen. Protokolldateien mit einem bestimmten Alter werden gelöscht. | Das Programm [[logrotate]] wird über einen Cronjob aufgerufen, benennt jede von ihm verwaltete Datei regelmässig um und erstellt eine neue leere Datei. Alte Dateien werden mit [[gzip]] gepackt, um so Speicherplatz zu sparen. Protokolldateien mit einem bestimmten Alter werden gelöscht. | ||
== | == Logdateien == | ||
Der Kernel-Log-Daemon [[klogd]] führt Protokoll über die Meldungen des Linuxkernels. Der Syslog-Daemon [[syslogd]] ist der Hauptprotokollführer von Linux - er wird von fast jedem Programm benutzt, das Protokoll führen will. | Der Kernel-Log-Daemon [[klogd]] führt Protokoll über die Meldungen des Linuxkernels. Der Syslog-Daemon [[syslogd]] ist der Hauptprotokollführer von Linux - er wird von fast jedem Programm benutzt, das Protokoll führen will. |
Version vom 29. Mai 2011, 14:15 Uhr
Logging ist jeder Vorgang, über den ein Betriebssystem oder ein Anwendungsprogramm Ereignisse aufzeichnet und diese Aufzeichnungen für später aufhebt. Im Sicherheitsbereich können Logdateien einen eindeutigen Hinweis darauf geben, dass ein Angriff, ein Einbruch oder eine andere kriminelle Tat stattgefunden hat. Eine wichtige Arbeit des Systemverwalters ist die regelmässige Logdateianalyse.
Die meisten Linuxdienste geben Log-Informationen an unter "/var/log" stehende Standard- oder sogar gemeinsam genutzte Logdateien aus:
- lastlog gibt die letzten Logininformationen zu allen in "/etc/passwd" aufgelisteten Benutzern aus. Diese Daten sind nur temporär und müssen bei Bedarf täglich gesichert werden.
- last wertet die Datei "/var/log/wtmp" aus und gibt Berichte über die login-Zeiten von Benutzern aus.
- httpd speichert seine Logdateien unter "/var/log/apache2/access_log" und "/var/log/apache2/error_log". Die Ausgabe dieser Logdateien kann mittels verschiedener Direktiven angepasst werden.
- klogd fängt Kernelmeldungen ab und protokolliert sie an den syslogd.
- syslogd gibt die Art von Logging aus, die von vielen Programmen benutzt wird. Typische verfolgte Werte sind u. a. der Programmname, Funktionstyp, Priorität und die Logmeldung. Die System-, Kernel- und Netzwerkdienst-Diagnosemeldungen werden unter "/var/log/messages" protokolliert. Die Protokollierung kann in der Datei "/etc/syslog.conf" angepasst werden.
- Syslog-ng ersetzt auf vielen Distributionen inzwischen die beiden Dienste "Syslog" und "Klog". Die Konfigurationsdatei heisst "/etc/syslog-ng/syslog-ng.conf".
Einige Dienste wie der Apache HTTP Server, Mysql oder CUPS verwenden eigene Protokolldateien.
Die meisten Protokolle wachsen langsam genug, dass sie bei bedarf auch mit Hilfe von Shell-Befehlen wie tail, more oder grep kontrolliert werden können.
Das Programm logrotate wird über einen Cronjob aufgerufen, benennt jede von ihm verwaltete Datei regelmässig um und erstellt eine neue leere Datei. Alte Dateien werden mit gzip gepackt, um so Speicherplatz zu sparen. Protokolldateien mit einem bestimmten Alter werden gelöscht.
Logdateien
Der Kernel-Log-Daemon klogd führt Protokoll über die Meldungen des Linuxkernels. Der Syslog-Daemon syslogd ist der Hauptprotokollführer von Linux - er wird von fast jedem Programm benutzt, das Protokoll führen will.
Datei unter /var/log |
Funktion | ||||||||
---|---|---|---|---|---|---|---|---|---|
messages | Hauptprotokolldatei des Betriebssystems. Mandrake Linux führt zusätzlich auch noch die Datei "/var/log/syslog". Protokolliert werden z. B. Netzwerkfehler, Anmeldeinformationen und Meldungen über angeschlossene Hardware (z. B. USB-Speicher, Digitalkameras, Drucker, Scanner). Wenn 20 Minuten lang nichts Bemerkenswertes geschieht, schreibt der Syslogdaemon den Eintrag "- MARK -" in die Datei.
Mit "tail -f /var/log/messages" sowie auf der zehnten Konsole (CTRL+ALT+F10) können die Systemmeldungen live mitverfolgt werden. | ||||||||
boot.* | Systemmeldungen während dem Hochfahren des Betriebssystems. Jede Zeile steht für eine bestimmte Aufgabe. Am Zeilenende vermerkt der Kernel, ob er die Aufgabe erfüllen konnte (Done, OK, Succeeded) oder ob dabei Fehler auftraten (Failed).
Mit dmesg können die Bootmeldungen angesehen werden. | ||||||||
XFree86.0.log | Protokolldatei des X-Servers. | ||||||||
warn | Protokolldatei über kritische Warnungen des Kernels. | ||||||||
wtmp | Protokolldatei über die An- und Abmeldevorgänge. Die Datei lässt sich mit dem Befehl last ansehen. Damit Eindringlingen das Spurenverwischen schwerer gemacht wird, handelt es sich um eine Datei im Binärformat. | ||||||||
YaST2 | Logdateien von YaST2.
|