Die meisten Fehler hinterlassen Sputen in Logs. Genauso wahr ist aber auch: Diese Spuren sind in Millionen Log-Events so schwer zu finden wie die sprichwörtliche Nadel im Heuhaufen. Allerdings können gute Suchwerkzeuge den IT-Detektiv unterstützen.

So genannte IT-Search-Lösungen indexieren große Mengen von Logfiles aller Art und erlauben die Suche im Volltext und nach bestimmten Merkmalen der Events, die sie selbstständig in den Logs erkennen. Das können Zeitstempel, Adressen, Statuscodes oder ähnliches sein. Das Ganze funktioniert zudem über verschiedene Logfiles hinweg, deren Einträge korreliert werden können. Außerdem lassen sich die Events mit Metadaten anreichern, die beispielsweise kryptische Fehlercodes automatisch in eine lesbare Problembeschreibung übersetzen. Ein Histogramm der Event-Häufigkeiten im Zeitverlauf macht zusätzlich typische Häufungen auffällig, wie sie sich etwa durch Angriffsszenarien ergeben können.

Einer der ausgereiftesten Vertreter dieser Softwareklasse ist Splunk, das dieser Beitrag ausführlich und in Beispielen vorstellt. Die Software ist für kleine Mengen an Logs kostenlos verwendbar. Steigen die Ansprüche, muss der Anwender eine Lizenz erwerben, kann dann allerdings auch den Indexier- und Suchprozess über mehrere Hosts verteilen und damit performant und ausfallsicher machen. Eine Besonderheit von Splunk ist die einfache Erweiterbarkeit über speicherbare Suchen oder Reports und eigene kleine Apps, die auf bestimmte Anwendungen zugeschnitten sind. Eine ganze Kollektion davon stellt die Community zudem inzwischen kostenfrei bereit.
Wer kein neues Feature und keinen neuen Beitrag der Linux Technical Review mehr verpassen möchte, der abonniert am besten diesen völlig unverbindlichen und kostenfreien Newsletter, der einmal in der Woche über das Aktuellste informiert.