Aus dem Alltag eines Sysadmin: Lire

"Regeln sind da, damit du nachdenkst, bevor du sie brichst" - das ist eines der zeitlosen Zitate [1] aus Terry Pratchetts Discworld-Serie. Heute ist wieder Gelegenheit für einen Regelbruch. "Ein Job, ein Werkzeug" - das ist die Regel. Meine Opfer sind Werkzeuge zur Auswertung von Logfiles. Kürzlich musste ich Logs dreier verschiedener Mailserver auswerten (Exim, Postfix und Sendmail) und würfelte dabei auf der Kommandozeile ständig die Konfigurationsparameter der drei Auswertungstools durcheinander - man wird ja nicht jünger.

Entlastung fürs Admin-Hirn verschafft Lire [2], eine beachtlichen Programmsammlung, die sich hinter nur wenigen Kommandos verschanzt. Gerade mal eines davon, Lr_log2report, benötige ich für das Auswerten meiner Logs. Oft rufe ich es mit zwei Parametern auf, hier am Beispiel eines Webserver-Protokolls:

lr_log2report combined /var/log/apache2/access.log

Mit »combined« teile ich dem Programm mit, welches Logfile-Format ihm dräut - in diesem Fall das erweiterte Log des Apache-Webservers. Der zweite Parameter weist den Weg zum Log. Das Ergebnis erscheint nach kurzer Zeit auf der Konsole. Alternativ teilt Lire seine Erkenntnisse auch in HTML mit:

lr_log2report combined /var/log/apache2/access.log -o html /var/www/auswertung/

Hier landet das Auswertungsergebnis im nach »-o html« angegebenen Pfad.

Neben den üblichen Auswertungen geht Lire an einigen Stellen tiefer ins Detail. So gibt es eine Analyse des HTTP-Protokolls, das die Clients benutzt haben. (Abbildung 1). Außerdem versteht sich das Tool darauf, auszuwerten, welche Spider und Robots wie oft bei mir vorbeigeschaut haben (Abbildung 2).

Abbildung 1: Lire kann das HTTP-Protokoll analysieren, das die Clients benutzt haben. HTTP 1.0 kann unter Umständen ein Indikator dafür sein, dass die Clients über einen Proxy surfen.

Abbildung 2: Eine Statistik über die Besuchshäufigkeit von Robotern.

Panoramica

Um einen Überblick über die Auswertungsvarianten zu gewinnen, lasse ich mir auf der Kommandozeile mit

lr_log2report --help dlf-converters

eine Liste aller Formate ausgeben, die Lire interpretieren kann. Es sind etwa 40 verschiedene, darunter die Mitschriften von sechs Mailservern, mehreren Versionen der Nameserver Bind und Tiny DNS, Snort, Apache, MySQL und PostgreSQL, Spamassassin und Squid. Auch bei den Ausgabeformaten gibt sich Lire flexibel: Neben Plaintext und HTML gibt es die gewonnenen Daten auch als PDF oder in Microsofts XLS weiter.

Die Software lässt sich auf vielfältige Weise an des Admin Bedürfnisse anpassen, die englische Dokumentation unter [3] zeigt sich in dieser Hinsicht ausführlich und geizt nicht mit Beispielen. Dass meine Log-Auswertungen nur an der Oberfläche von Lires Möglichkeiten kratzen, bringt mich zum nächsten Pratchett-Zitat: "Wissen bringt neues Unwissen hervor." [4] (jk)

Der Autor
Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein in Kamp-Lintfort. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ. Im heißen Teil seiner Freizeit frönt er dem Kochen, im feuchten Teil der Süßwasseraquaristik und im östlichen lernt er Japanisch.