Linux-System-Logs analysieren und verstehen
System-Logs sind ein essenzielles Werkzeug zur Überwachung und Fehlersuche auf Linux-Systemen. Diese Anleitung zeigt, wie du Logs liest, analysierst und sicherst.
1. Wichtige Log-Dateien
- /var/log/syslog: Enthält allgemeine Systemmeldungen und Informationen.
- /var/log/auth.log: Protokolliert Anmeldeversuche und sicherheitsrelevante Ereignisse.
- /var/log/dmesg: Zeigt Kernel-Meldungen, insbesondere beim Bootvorgang.
- /var/log/apache2/access.log: Zugriffsmeldungen des Apache-Webservers.
- /var/log/fail2ban.log: Protokolliert blockierte IP-Adressen durch Fail2Ban.
2. Logs mit journalctl analysieren
- Zeige alle Logs:
- Befehl:
journalctl
- Befehl:
- Logs nach Datum filtern:
- Befehl:
journalctl --since "2024-01-01" --until "2024-01-31"
- Befehl:
- Logs für einen bestimmten Dienst:
- Befehl:
journalctl -u sshd
- Befehl:
3. Logs in Echtzeit überwachen
- Nutze den Befehl
tail, um neue Log-Einträge in Echtzeit zu sehen:sudo tail -f /var/log/syslog
- Für journalctl:
- Befehl:
journalctl -f
- Befehl:
4. Logs verwalten und rotieren
- Prüfe die Konfiguration von logrotate:
- Datei:
/etc/logrotate.conf
- Datei:
- Manuelles Rotieren von Logs:
- Befehl:
sudo logrotate -f /etc/logrotate.conf
- Befehl:
5. Logs sichern und analysieren
- Sichere Logs regelmäßig mit `rsync` oder einem Backup-Tool.
- Analysiere Logs mit Tools wie `grep`, `awk` oder `logwatch`.
- Beispiel:
grep "ERROR" /var/log/syslogzeigt alle Fehler-Einträge.
- Beispiel: