{"id":5376,"date":"2017-07-19T14:34:40","date_gmt":"2017-07-19T12:34:40","guid":{"rendered":"https:\/\/contabo.com\/blog\/?p=5376"},"modified":"2021-02-20T10:42:33","modified_gmt":"2021-02-20T09:42:33","slug":"auslesen-von-log-dateien","status":"publish","type":"post","link":"https:\/\/contabo.com\/blog\/de\/auslesen-von-log-dateien\/","title":{"rendered":"Auslesen von Log-Dateien unter Linux und Windows"},"content":{"rendered":"\n<p>Jeder kennt es, man m\u00f6chte ein Problem auf dem Server oder dem Heimcomputer genauer untersuchen, doch wo findet man die relevanten Informationen?<\/p>\n\n\n\n<p>Im Folgenden werden wir auf spezifische Log-Dateien in Linux und auf den Windows Event Viewer n\u00e4her eingehen. Ein weiterer Abschnitt wird die Log-Analyse unter Linux via Systemd behandeln.<\/p>\n\n\n\n<p><strong>Linux Log-Dateien<\/strong><\/p>\n\n\n\n<p>Leider ist es von Distribution zu Distribution unterschiedlich, welche Informationen aus welcher Log-Datei bezogen werden k\u00f6nnen. Wir werden im folgenden speziell die Struktur anhand von Debian 8 und CentOS 7.2 behandeln. Im Prinzip kann man sehr viele n\u00fctzliche Log-Dateien unter dem Verzeichnis \/var\/log\/ finden. Je nachdem, wie Apache, Nginx oder \u00e4hnliche Programme konfiguriert wurden, loggen diese ebenfalls in das \/var\/log\/ Verzeichnis. In der Datei unter \/etc\/rsyslog.conf ist genau spezifiziert, welche Art von System-Logs in welche Datei geloggt werden.<\/p>\n\n\n\n<p>Debian 8:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>\/var\/log\/auth.log<\/li><\/ul>\n\n\n\n<p>Hier k\u00f6nnen erfolgreiche und nicht erfolgreiche Login-Versuche auf Ihrem System eingesehen werden. Ebenfalls wird hier geloggt, wenn ein Benutzer via <em>sudo<\/em> Befehle ausf\u00fchrt.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>\/var\/log\/messages<\/li><\/ul>\n\n\n\n<p>In dieser Datei werden allgemeine Systeminformationen geloggt, unter anderem ist hier auch der Systemstart geloggt.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>\/var\/log\/dmesg bzw <em>dmesg<\/em><\/li><\/ul>\n\n\n\n<p>Via <em>dmesg<\/em> kann der &#8222;Kernel ring buffer&#8220; ausgelesen werden. Hier finden sich Informationen \u00fcber den Systemstart, Kernel-Nachrichten die zur Laufzeit &#8211; zum Beispiel von Kernel -Modulen &#8211; geschrieben wurden und viele weitere n\u00fctzliche Informationen \u00fcber Hardware und Software des Systems. Standardm\u00e4\u00dfig wird via <em>dmesg<\/em> der gesamte &#8222;ring buffer&#8220; ausgegeben. Man kann allerdings die Ausgabe nach eigenen W\u00fcnschen manipulieren, indem man weitere Parameter \u00fcbergibt. Eine vollst\u00e4ndige Dokumentation finden man auf der Manual Page (man dmesg).<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>\/var\/log\/syslog<\/li><\/ul>\n\n\n\n<p>Dies ist eine der wichtigsten Log-Dateien, da hier im Prinzip jeder Linux-Prozess seine Logs anh\u00e4ngen kann.&nbsp; Man kann hier ebenfalls die Kernel-Logs des Systemstarts, ausgef\u00fchrte cron-jobs und Logs von jedem weiteren Prozess welcher die <em>syslog<\/em> Schnittstelle implementiert, einsehen.<\/p>\n\n\n\n<p>CentOS 7.2:<\/p>\n\n\n\n<p>Die Logging-Struktur von CentOS ist der von Debian 8 sehr \u00e4hnlich, weshalb wir hier nur die Unterschiede beleuchten werden.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>\/var\/log\/secure<\/li><\/ul>\n\n\n\n<p>Diese Datei ist das \u00c4quivalent zu \/var\/log\/auth.log auf Debian-Systemen. Authentifizierungen jeglicher Art werden hier aufgezeichnet.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>\/var\/log\/messages<\/li><\/ul>\n\n\n\n<p>In CentOS gibt es keine Trennung zwischen \/var\/log\/messages und \/var\/log\/syslog, alle systemweiten Logs von Prozessen, welche die <em>syslog<\/em> Schnittstelle implementieren, kann man hier finden.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>\/var\/log\/cron<\/li><\/ul>\n\n\n\n<p>Cron-spezifische Logs sind nicht Teil des syslogs wie in Debian, sondern werden in die obige Datei separat geloggt.<\/p>\n\n\n\n<p><strong>Loganalyse via Systemd<\/strong><\/p>\n\n\n\n<p><a href=\"https:\/\/de.wikipedia.org\/wiki\/Systemd\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">Systemd<\/a> ist mittlerweile auf fast allen &#8222;Major&#8220; Linux-Distributionen das Standard Init System. Sp\u00e4testens seit April 2015, als es ebenfalls standardm\u00e4\u00dfig auf Debian und Ubuntu eingef\u00fchrt wurde, kommt jeder Administrator oder auch Benutzer mit Systemd in Ber\u00fchrung. Da Systemd ein sehr komplexes System ist, werden wir hier nur speziell auf die von Systemd bereitgestellte Log-Analyse eingehen. Im Prinzip sind alle via Systemd verwalteten Prozesse in sogenannte &#8222;Units&#8220; eingeteilt. Man kann alle aktiven Units mit folgendem Befehl auflisten:<\/p>\n\n\n\n<p>systemctl list-units<\/p>\n\n\n\n<p>Mit dem Parameter &#8211;all kann man auch alle inaktiven Units mit ausgeben.<\/p>\n\n\n\n<p>Logs, welche via Systemd erfasst werden, werden im sogenannten Journal verwaltet. Diese Logs kann man mit dem binary <a href=\"https:\/\/www.freedesktop.org\/software\/systemd\/man\/journalctl.html\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">journalctl<\/a> einsehen.<\/p>\n\n\n\n<p>Wenn man <em>journalctl<\/em> ohne Parameter aufruft, wird das gesamte Journal ausgegeben. Es ist aber auch ohne Probleme m\u00f6glich, nur Logs von spezifischen Units auszugeben. Im folgenden Beispiel sollen die Logs des Apache-Webservers genauer untersucht werden.<\/p>\n\n\n\n<p>journalctl -u httpd<\/p>\n\n\n\n<p>Man kann diese Logs mit den Parametern &#8211;since und &#8211;until sehr fein granulieren.<\/p>\n\n\n\n<p>journalctl -u httpd &#8211;since &#8222;2016-11-01 20:00:00&#8220; &#8211;until &#8222;2016-11-03 20:00:00&#8220;<\/p>\n\n\n\n<p>Obiger Befehl w\u00fcrde die Apache-Logs zwischen 2016-11-01 20:00:00 und 2016-11-03 20:00:00 ausgeben. Es sind auch Schlagw\u00f6rter wie &#8222;today&#8220; und &#8222;yesterday&#8220; m\u00f6glich.<\/p>\n\n\n\n<p>Man kann sich ebenfalls die Logs von mehreren Units gleichzeitig ausgeben lassen. Im folgenden Beispiel werden alle Apache- und Nginx-Logs ausgegeben, welche seit gestern geschrieben wurden.<\/p>\n\n\n\n<p>journalctl -u httpd -u nginx &#8211;since yesterday<\/p>\n\n\n\n<p>Wenn man den Parameter -f benutzt, kann man die gew\u00fcnschten Logs live einsehen.<\/p>\n\n\n\n<p>Dies waren nur ein paar n\u00fctzliche Parameter um die Logs feiner zu granulieren, es gibt noch zahlreiche weitere n\u00fctzliche M\u00f6glichkeiten, welche auf der Manual Page genauer beschrieben sind (man journalctl).<\/p>\n\n\n\n<p><strong>Loganalyse via Windows Event Viewer<\/strong><\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><a href=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2016\/11\/event_viewer_overview.png\"><img loading=\"lazy\" decoding=\"async\" width=\"1283\" height=\"968\" src=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2016\/11\/event_viewer_overview.png\" alt=\"Windows Event Viewer \u00dcbersicht\" class=\"wp-image-5385\" srcset=\"https:\/\/contabo.com\/blog\/wp-content\/uploads\/2016\/11\/event_viewer_overview.png 1283w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2016\/11\/event_viewer_overview-300x226.png 300w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2016\/11\/event_viewer_overview-1024x773.png 1024w, https:\/\/contabo.com\/blog\/wp-content\/uploads\/2016\/11\/event_viewer_overview-768x579.png 768w\" sizes=\"auto, (max-width: 1283px) 100vw, 1283px\" \/><\/a><\/figure><\/div>\n\n\n\n<p>Im obigen Bild gibt es in der linken Navigation den Punkt &#8222;Windows Logs&#8220;. Hier sind vor allem folgende Punkte interessant:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Application<\/li><\/ul>\n\n\n\n<p>Unter diesem Punkt werden Ereignisse von lokal installierten Anwendungen angezeigt.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Security<\/li><\/ul>\n\n\n\n<p>Hier werden erfolgreiche und fehlgeschlagene Anmeldungen protokolliert.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>System<\/li><\/ul>\n\n\n\n<p>Unter diesem Punkt kann man betriebssysteminterne Ereignisse und Fehler einsehen.<\/p>\n\n\n\n<p>Unter dem Punkt &#8222;Custom Views&#8220; -&gt; &#8222;Server Roles&#8220; -&gt; &#8222;Remote Desktop Services&#8220; werden RDP Verbindungen und Probleme protokolliert.<\/p>\n\n\n\n<p>Eventuelle Hardware-Probleme kann man \u00fcber &#8222;Application and Service Logs&#8220; -&gt; &#8222;Hardware Events&#8220; identifizieren.<\/p>\n\n\n\n<p>Hilfreich bei einer Problemanalyse ist auch der Punkt &#8222;Overview and Summary&#8220; -&gt; &#8222;Summary of Administrative Events&#8220;, welcher einen sehr guten \u00dcberblick \u00fcber den derzeitigen Systemstatus gibt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Jeder kennt es, man m\u00f6chte ein Problem auf dem Server oder dem Heimcomputer genauer untersuchen, doch wo findet man die relevanten Informationen? Im Folgenden werden wir auf spezifische Log-Dateien in Linux und auf den Windows Event Viewer n\u00e4her eingehen. Ein weiterer Abschnitt wird die Log-Analyse unter Linux via Systemd behandeln. Linux Log-Dateien Leider ist es [&hellip;]<\/p>\n","protected":false},"author":24,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"_uag_custom_page_level_css":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1399],"tags":[181,265,510,1194,1195,905,941],"ppma_author":[1499],"class_list":["post-5376","post","type-post","status-publish","format-standard","hentry","category-tutorials","tag-contabo","tag-dedizierte-server","tag-linux","tag-log-analyse","tag-log-dateien","tag-vserver","tag-windows"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"Dirk","author_link":"https:\/\/contabo.com\/blog\/de\/author\/dirk\/"},"uagb_comment_info":0,"uagb_excerpt":"Jeder kennt es, man m\u00f6chte ein Problem auf dem Server oder dem Heimcomputer genauer untersuchen, doch wo findet man die relevanten Informationen? Im Folgenden werden wir auf spezifische Log-Dateien in Linux und auf den Windows Event Viewer n\u00e4her eingehen. Ein weiterer Abschnitt wird die Log-Analyse unter Linux via Systemd behandeln. Linux Log-Dateien Leider ist es&hellip;","authors":[{"term_id":1499,"user_id":24,"is_guest":0,"slug":"dirk","display_name":"Dirk","avatar_url":"https:\/\/secure.gravatar.com\/avatar\/65a7e6abc9d94c41731df77af8361972efc7bbb5750af37b8dc01373e07de864?s=96&d=mm&r=g","0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/5376","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/comments?post=5376"}],"version-history":[{"count":0,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/5376\/revisions"}],"wp:attachment":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/media?parent=5376"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/categories?post=5376"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/tags?post=5376"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/ppma_author?post=5376"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}