Dies ist eine alte Version des Dokuments!
Gängige Befehle
ls -lrt /var/log
tail -f /var/log/messages
less /var/log/messages
grep Testmeldung /var/log/*
syslog
Beispiel: Logdaten von einem Rechner auf den nächsten übertragen
Zielrechner:
Zielrechner netzwerkfähig machen:
/etc/sysconfig/syslog
: ( Centos 5 )
SYSLOGD_OPTIONS="-m 0 -r"
/etc/sysconfig/syslog
: ( openSuSE 11.1 )
SYSLOGD_PARAMS="-r"
/etc/default/syslogd
: ( debian 4.0 )
SYSLOGD="-r"
Passende Nachrichten in Datei '/var/log/beispiel' schreiben:
/etc/syslog.conf
:
local5.info -/var/log/beispiel
Syslog neu starten:
/etc/init.d/sysklogd restart
Absender-Rechner:
/etc/syslog.conf:
local5.info @zielrechner
Syslog neu einlesen:
/etc/init.d/sysklogd restart
Testen: Meldung abschicken:
logger -p local5.info "Testmeldung"
rsyslog
Beispiel: Logdaten von einem Rechner auf den nächsten übertragen
Zielrechner:
Zielrechner netzwerkfähig machen:
Passende Nachrichten in Datei /var/log/beispiel
schreiben:
Debian, CentOS
/etc/rsyslog.conf
: ( debian 5.0, centos 6.0 )
$ModLoad imudp
$UDPServerRun 514
local5.info -/var/log/beispiel
Syslog neu starten:
service rsyslog restart
SuSE
/etc/rsyslog.d/remote.conf
: ( sles 11 SP 1 )
$ModLoad imudp
$UDPServerRun 514
/etc/rsyslog.conf
: ( debian 5.0 )
local5.info -/var/log/beispiel
Syslog neu starten:
/etc/init.d/syslog restart
Absender-Rechner:
/etc/rsyslog.conf:
local5.info @zielrechner
Syslog neu einlesen:
/etc/init.d/rsyslog restart
Testen: Meldung abschicken:
logger -p local5.info "Testmeldung"
syslog-ng
Beispiel: Eine eigene log-Regel schreiben:
/etc/syslog-ng/syslog-ng.conf.in
: (SuSE bis 10.1)
/etc/syslog-ng/syslog-ng.conf
: (SuSE ab 10.2)
filter f_ingo {
level(warn) and program(logger);
};
destination ingo_log {
file("/var/log/ingo.log");
};
log {
source(src);
filter(f_ingo);
destination(ingo_log);
};
Configdatei überprüfen:
syslog-ng -s
Dienst neu starten und evtl. SuSEconfig glücklich machen
/sbin/conf.d/SuSEconfig.syslog-ng
/etc/init.d/syslog restart
Testen:
logger -p local1.warn -t logger "Dies ist eine Testmeldung"
Beispiel: Logdaten von einem Rechner auf den nächsten übertragen
Zielrechner:
Zielrechner netzwerkfähig machen :
/etc/syslog-ng/syslog-ng.conf.in
: (SuSE bis 10.1)
/etc/syslog-ng/syslog-ng.conf
: (SuSE ab 10.2)
source src{
...
udp(ip("0.0.0.0") port(514));
};
Meldungen bestimmter Log-Facilities und Log-Priorities werden durch Filter und Destination definiert
filter f_local5 {
level(info) and facility(local5);
};
destination d_local5 {
file("/var/log/beispiel");
};
log {
source(src) ;
filter(f_local5) ;
destination(d_local5);
};
Danach SuSEconfig
oder /sbin/conf.d/SuSEconfig.syslog-ng
aufrufen um die Änderungen permanent zu übertragen und syslog-ng reloaden.
rcsyslog reload
Absender-Rechner
/etc/syslog-ng/syslog-ng.conf.in
: (SuSE bis 10.1)
/etc/syslog-ng/syslog-ng.conf
: (SuSE ab 10.2)
destination d_ziel { udp( "Zielrechner" port(514) ); };
log { source(src); destination(d_ziel); };
SuSEconfig
aufrufen zum Ändern der Konfigdatei und syslog reloaden
rcsyslog reload
User Logging
paket psacct installieren.
Log aktivieren
touch acct.log
accton acct.log
Log deaktivieren
accton
Logs auswerten
sa -a acct.log
lastcomm -f acct.log --user nutzer14
logrotate
logs auswerten
Debian:
logcheck
SuSE:
logdigest
logwatch
CentOS 5:
logwatch
Log Analyse Software
Doku
auth, authpriv, cron, daemon, kern, lpr, mail, mark, news, security (same as auth), syslog, user, uucp and local0
bis local7
debug, info, notice, warning, warn (same as warning), err, error (same as err), crit, alert, emerg, panic (same as emerg)
Doku
Testskript für Alles
for fac in auth authpriv cron daemon kern lpr mail mark news syslog user uucp local0 local1 local2 local3 local4 local5 local6 local7; do
for lev in debug info notice warning err crit alert emerg; do
logger -p "${fac}.${lev}" "${fac}.${lev}"
done
done
Links
Syslog
Syslog-NG