Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


admin_grundlagen:logging

Dies ist eine alte Version des Dokuments!


Gängige Befehle

ls -lrt /var/log
tail -f /var/log/messages
less /var/log/messages
grep Testmeldung /var/log/*

syslog

Beispiel: Logdaten von einem Rechner auf den nächsten übertragen

Zielrechner:

Zielrechner netzwerkfähig machen:

/etc/sysconfig/syslog : ( Centos 5 )

SYSLOGD_OPTIONS="-m 0 -r"

/etc/sysconfig/syslog: ( openSuSE 11.1 )

  SYSLOGD_PARAMS="-r"

/etc/default/syslogd: ( debian 4.0 )

  SYSLOGD="-r"

Passende Nachrichten in Datei '/var/log/beispiel' schreiben:

/etc/syslog.conf :

local5.info     -/var/log/beispiel

Syslog neu starten:

/etc/init.d/sysklogd restart

Absender-Rechner:

/etc/syslog.conf:

local5.info     @zielrechner

Syslog neu einlesen:

/etc/init.d/sysklogd restart

Testen: Meldung abschicken:

logger -p local5.info "Testmeldung"

rsyslog

Beispiel: Logdaten von einem Rechner auf den nächsten übertragen

Zielrechner:

Zielrechner netzwerkfähig machen: Passende Nachrichten in Datei /var/log/beispiel schreiben:

Debian, CentOS

/etc/rsyslog.conf: ( debian 5.0, centos 6.0 )

  $ModLoad imudp
  $UDPServerRun 514
  local5.info     -/var/log/beispiel

Syslog neu starten:

service rsyslog restart

SuSE

/etc/rsyslog.d/remote.conf: ( sles 11 SP 1 )

  $ModLoad imudp
  $UDPServerRun 514

/etc/rsyslog.conf: ( debian 5.0 )

  local5.info     -/var/log/beispiel

Syslog neu starten:

/etc/init.d/syslog restart

Absender-Rechner:

/etc/rsyslog.conf:

local5.info     @zielrechner

Syslog neu einlesen:

/etc/init.d/rsyslog restart

Testen: Meldung abschicken:

logger -p local5.info "Testmeldung"

syslog-ng

Beispiel: Eine eigene log-Regel schreiben:

/etc/syslog-ng/syslog-ng.conf.in: (SuSE bis 10.1)

/etc/syslog-ng/syslog-ng.conf: (SuSE ab 10.2)

filter f_ingo { 
  level(warn) and program(logger); 
};
destination ingo_log { 
  file("/var/log/ingo.log"); 
};
log { 
  source(src); 
  filter(f_ingo); 
  destination(ingo_log); 
};

Configdatei überprüfen:

syslog-ng -s

Dienst neu starten und evtl. SuSEconfig glücklich machen

/sbin/conf.d/SuSEconfig.syslog-ng
/etc/init.d/syslog restart

Testen:

logger -p local1.warn -t logger "Dies ist eine Testmeldung"

Beispiel: Logdaten von einem Rechner auf den nächsten übertragen

Zielrechner:

Zielrechner netzwerkfähig machen :

/etc/syslog-ng/syslog-ng.conf.in: (SuSE bis 10.1)

/etc/syslog-ng/syslog-ng.conf: (SuSE ab 10.2)

source src{

  ...

  udp(ip("0.0.0.0") port(514));

};  

Meldungen bestimmter Log-Facilities und Log-Priorities werden durch Filter und Destination definiert

filter f_local5 { 
  level(info) and facility(local5); 
}; 

destination d_local5 { 
  file("/var/log/beispiel"); 
};

log { 
  source(src) ; 
  filter(f_local5) ; 
  destination(d_local5); 
};  

Danach SuSEconfig oder /sbin/conf.d/SuSEconfig.syslog-ng aufrufen um die Änderungen permanent zu übertragen und syslog-ng reloaden.

rcsyslog reload

Absender-Rechner

/etc/syslog-ng/syslog-ng.conf.in: (SuSE bis 10.1)

/etc/syslog-ng/syslog-ng.conf: (SuSE ab 10.2)

destination d_ziel { udp( "Zielrechner" port(514) ); };

log { source(src); destination(d_ziel);  };

SuSEconfig aufrufen zum Ändern der Konfigdatei und syslog reloaden

rcsyslog reload

User Logging

paket psacct installieren.

Log aktivieren

touch acct.log 
accton acct.log 

Log deaktivieren

accton 

Logs auswerten

sa -a acct.log 
lastcomm -f acct.log --user nutzer14

logrotate

siehe logrotate

logs auswerten

Debian:

logcheck

SuSE:

logdigest
logwatch

CentOS 5:

logwatch

Log Analyse Software

Doku

  • Level:

debug, info, notice, warning, warn (same as warning), err, error (same as err), crit, alert, emerg, panic (same as emerg)

  • Facility:

auth, authpriv, cron, daemon, kern, lpr, mail, mark, news, security (same as auth), syslog, user, uucp and local0 bis local7

Links

Syslog

Syslog-NG

admin_grundlagen/logging.1345713718.txt.gz · Zuletzt geändert: 2012/08/23 09:21 von ingo_wichmann