Abbildung 1: Frontail macht in Sachen Log-Sammlung ein Web-Fass auf.

Bei wem zu Hause 25 Raspberry Pis laufen und noch einmal so viele andere IP-Devices wie bei Sysadmin-Kolumnist Charly, darf sich wie dieser Gedanken über sein Log-Management machen. Rausgekommen sind Atom-Technik und eine Logfile-Disk, die nicht dauergeflasht ist.

Ab und zu schaue ich mit »nmap -sP 10.0.0.1-254« nach, wie viele IP-Geräte im Heimnetz gerade online sind. Es sind inzwischen mehr als 50, die Hälfte davon Raspberry Pis. Damit wächst so langsam die Notwendigkeit für einen zentralen Syslog-Server. Ein alter Mini-PC mit Intel Atom, den ich mit einer SSD nachgerüstet habe, soll den Dauerjob übernehmen. Den Syslog-Server gibt der standardmäßig installierte Rsyslogd. In dessen Konfigurationsdatei »/etc/rsyslog.conf« sorgen die folgenden Zeilen dafür, dass er von anderen Rechnern Syslog-Daten per UDP und TCP empfangen kann:

$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514

Auf den anderen Maschinen füge ich den Eintrag »*.* @10.0.0.254« in die »rsyslog.conf« ein, sodass sie alle Logdaten in den Server 10.0.0.254 pumpen.

Allerdings erzeugen die eingehenden Syslog-Meldungen eine Menge Schreibvorgänge und ich fürchte um die Lebensdauer der SSD. Zur Rettung eilt Log2ram [1] herbei. Es legt eine RAM-Disk auf »/var/log« an, in die der zentrale Rsyslogd alle eingehenden Daten schreibt. Einmal pro Stunde landet die Sammlung in einem Rutsch auf der Platte.

Seltsamer Hang zum Brief

Ich installiere Log2ram, indem ich auf dem Logserver

git clone https://github.com/azlux/log2ram

ausführe, in das entstandene Verzeichnis wechsle und dort das Skript »install.sh« ausführe. Bei mir schlug die Installation zunächst fehl, weil das Paket Mailutils fehlte. Log2ram besteht aber auf der Möglichkeit, bei Problemen Mails an den Admin zu schicken.

Auch die Größe der RAM-Disk, per Default 40 MByte, war für meine Zwecke zu klein, aber das ist mit einem Handgriff in der Konfigurationsdatei angepasst.

Jetzt habe ich noch einen weiteren Wunsch: Ich möchte mir die Logs nicht nur per »tail -f« auf der Konsole des Logservers ansehen, sondern sie auch in eine Webseite einblenden, falls mich unterwegs mal der Drang nach Akteneinsicht ereilt. Ein kleines Tool namens Frontail [2] ermöglicht genau dies. Es fußt auf Node.js, also muss dessen Installer »npm« installiert sein. Frontail installiere und starte ich danach mit:

npm i frontail -g
frontail /var/log/syslog

Damit startet ein kleiner Webserver auf Port 9001. Rufe ich die Seite per Webbrowser auf, begrüßt mich das Syslog (Abbildung 1). So bekomme ich mit wenigen Handgriffen den Durchblick und eine innerlich gechillte SSD.