Open Source im professionellen Einsatz
Linux-Magazin 05/2012
© epicstockmedia, 123RF

© epicstockmedia, 123RF

Logfiles überwachen und Aktionen anstoßen

Log-Wellenreiter

,

In den Logdateien eines Linux-Systems und seiner Dienste rauscht vorüber, was auf dem Rechner passiert. Tools wie Logcheck und Logsurfer filtern die wichtigsten Ereignisse für den Admin heraus – oder leiten sogar automatisch die passende Reaktion ein.

703

Wichtige Updates einspielen, auf kritische Ereignisse reagieren: Ein Systemadministrator muss stets eine Vielzahl von Aufgaben bewältigen. Umso besser, wenn er beruhigt einige dieser Pflichten an smarte Software abgeben kann. Längst gibt es Tools für die Loganalyse, die mit Hilfe klar definierter Regeln automatisiert auf Ereignisse reagieren.

Das Wichtigste per Mail

Das zeitaufwändigste Verfahren, Systeme zu beobachten, besteht in dem regelmäßige Blick in die Logdateien – doch das wird schnell monoton und aufreibend. Das Programm Logcheck schafft Abhilfe. Einmal installiert, überwacht es standardmäßig »/var/log/syslog« und »/var/log/auth.log« . Dabei filtert es belanglose Events aus, womit der Systembetreuer nur noch eine Mail mit einer Zusammenfassung der wichtigsten Ereignisse erhält (Abbildung 1).

Abbildung 1: Logcheck extrahiert die wichtigsten Meldungen und schickt sie als Mail an den Admin.

Mit dem richtigen Mailclient und entsprechenden Filtern lassen sich die Logs von Hosts oder Gruppen in Ordner einsortieren. So hat der Administrator alle Systeme im Blick, ohne sich auf diesen einloggen zu müssen. Logcheck [1] greift für die Überwachung der Logs übrigens auf das Programm Logtail zurück, das meist im selben Paket steckt.

Logtail kümmert sich darum, nur die Zeilen einer Datei auszugeben, die bisher noch keine Beachtung fanden. Hierfür legt es zu jedem Log eine weitere Datei mit der Bezeichnung »Dateiname.offset« an und speichert Informationen zum Inode der Logdatei. Zusätzlich hält es fest, bis zu welcher Stelle es ein Logfile bereits ausgelesen hat. Würde die Offsetdatei keine Informationen zum Inode dieses Log enthalten, würde Logtail neue Logs nicht erkennen und die Aktionen von Logrotate brächten das durchdachte System durcheinander.

Der im Installationspaket enthaltene Cronjob unter »/etc/cron.d/logcheck« sorgt für den stündlichen Versand der Meldungen, die Logcheck seit dem letzten Mal aus den Logs extrahiert und für wichtig befunden hat. Zusätzlich sendet das Tool eine solche Mail nach jedem Systemstart. Listing 1 zeigt, wie eine Logcheck-Mail aussieht. Der Inhalt der Dateien unter »/etc/logcheck/ignore*« legt fest, welche Meldungen das Tool ausfiltert und aus seinen Mailreports entfernt.

Listing 1

Mail von Logcheck

01 Feb 20 23:12:14 jupiter qmail: 1329775934.816939 delivery 19626: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
02 Feb 20 23:16:23 jupiter su[15621]: Successful su for logcheck by root

In diesem Listing finden sich zwei Zeilen, die Logcheck per Mail versenden würde. Die erste enthält eine Meldung des Mailservers Qmail, der sich über den fehlerhaften Verbindungsaufbau zum SMTP-Server des Empfängers einer Nachricht beschwert. Der zweite Eintrag hingegen weist den Systembetreuer auf ein erfolgreiches »su« für den Benutzer Logcheck hin. Beide Meldungen sind es wert, per Mail versandt zu werden.

Logcheck beschränkt sich auf das Filtern von Meldungen und das Verschicken entsprechender Logmails. Besonders bei Debian-basierten Distributionen wird es aber mit einer sehr sinnvollen Vorkonfiguration für viele Dienste ausgeliefert. Zusätzlich enthalten die Debian-Pakete vieler Dienste, etwa des MySQL-Servers, ebenfalls eigene Logcheck-Filter. So kann der Admin mit wenig Aufwand eine sehr gute Filterung seiner System-Logs erreichen.

Einigen Admins wird das eine Alternative zu Logcheck in Erinnerung rufen: Logdigest. Dieses Programm funktioniert ähnlich wie Logcheck, wird jedoch seit November 2009 nicht mehr aktiv weiterentwickelt. Das geplante Rewrite sowie eine Neuauflage des Tools in Python haben die Entwickler bisher nicht realisiert. Wer sich dennoch mit Logdigest auseinandersetzen möchte, findet unter [2] Lesematerial.

Logtail

Beim Beobachten von Logdateien zeigen sich bestimmte Events. Es liegt daher nahe, auf einige dieser Ereignisse mit festlegbaren Aktionen zu reagieren, natürlich automatisiert. Den Logcheck-Helfer Logtail kann der Admin auch dazu verwenden, auf bestimmte Ereignisse automatisch zu reagieren.

Dazu legt er einen Cronjob an, der regelmäßig eine Protokolldatei prüft. Die Ausgabe lässt sich mit einem Werkzeug wie Grep oder einem Perl-Skript filtern. Erkennt das Programm ein bestimmtes Muster, kann es eine Aktion auslösen. Diese Aktion besteht vielleicht einfach nur aus einer Mail-Benachrichtigung wie bei Logcheck. Daneben kann der Admin auf diese Weise aber auch Dienste neu starten oder andere Kommandos aufrufen. Listing 2 zeigt einen Cronjob, der den MySQL-Daemon neu startet, wenn er ausgefallen sein sollte.

Listing 2

Cronjobs mit Logtail

01 * * * * * root /usr/sbin/logtail /var/log/syslog | grep -q "mysql exited unexpected" && /etc/init.d/mysql restart

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Bitparade

    Wer Logdateien überwachen möchte, könnte zu einem dicken Hund wie Nagios oder Icinga greifen. Doch auch leichtgewichtige Alternativen wittern Bedrohungen, lassen sich aber wesentlich flotter einrichten. Das Linux-Magazin geht mit fünf dieser kleinen Wachhunde auf den Trainingsparcours.

  • Kostenloses Lesefutter: Admin-Jobs delegieren, Cloud-Speicher, Kernel-Debugging

    Mit der Veröffentlichung des aktuellen Linux-Magazins 03/2012 wird das Magazin 05/2012 kostenlos zugänglich, denn auf Linux-Magazin Online gibt es alle Ausgaben gratis zu lesen, die älter als 10 Monate sind.

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.