Logdateien in der paedml 1 Überblick 1.1 Systemrelevante Logdateien unter Linux Systemrelevante Log Dateien liegen weitgehend in /var/log bzw. einem Unterverzeichnis, das mit dem Namen des Dienstes benannt ist. Sie werden durch die Einstellungen in /etc/syslog.conf beeinflusst. Diese Datei bestimmt in welche Log Datei die Systemmeldungen bzw. die Meldungen der verschiedenen Dienste gespeichert werden. Besitzt der Dienst oder das Programm eine eigene Konfigurationsdatei, dann ist überlicherweise dort ein Verweis zu finden, wo und in welchem Umfang Meldungen gespeichert werden sollen. /var/log/messages Systemlogdatei, alle wichtigen Systemmeldungen /var/log/mail.log, mail.info, mail.err, mail.warn /var/log/auth.log /var/log/samba /var/log/cups /var/log/horde/horde3.log /var/log/postgresql/postgresql-<version>main.log protokolliert alles, was mit Mail zusammenhängt protokolliert alle Anmeldungen am Server direkt Logdateien zum Samba Server Logdateien des Druckdienstes page_log wer hat wann gedruckt Zugriffs- und Fehlerprotokolle des Hordeservers (Mail mit imp) Logdatei des postgresql-datenbankservers 1.2 paedml spezifische Logdateien auf dem Server Datei und Ort Dienst / Programm Aufgabe /var/log/linuxmuster/userlogins slapd Logins der User mitprotokollieren /var/log/linuxmuster/import_workstations.log import_workstations (/usr/sbin/import_wor kstations) /var/log/linuxmuster/setup.log /var/log/linuxmuster/linbo/* Setup Routine der paedml Linbo Import Prozess der Workstations dokumentieren Meldungen während der Installation protokollieren
<Rechnername>_image.log Linbo Meldungen bzgl. des Schreiben des Images <Rechnername>_linbo.log Linbo Meldungen beim Start von Linbo <Rechnername>_patch.log Linbo Welche Patches werdenunter Windows integriert /var/log/linuxmuster/rsync.log rsync Meldungen von rsync beim Systemabgleich /var/log/sophomorix sophomorix Log Dateien von sophomorix 1.3 Logdateien auf dem IPCOP Datei und Ort Dienst oder Programm Aufgabe /var/log/squid/access.log Proxy Squid Http Aufrufe protokollieren /var/log/squidguard/squidguard.log URL Filter squidguard Aufrufe von unerwünschten Seiten protokollieren /var/log/messages Firewall Alles was auf dem roten Interface abgeht! Wird aus messages gefiltert 2 Logdateien lesen 2.1 Auf der Konsole auswerten 2.1.a tail Häufig ist es erforderlich, Protokolldateien zu beobachten. Der Befehl tail zeigt immer die letzten Zeilen einer Datei an. Mit der Option -f wird auf dem Terminal jede neue Zeile angezeigt, die an diese Datei angehängt wird. Das Terminal ist blockiert, bis man die Beobachtung mit ctrl-c abbricht. Dies ist vor allem dann von Vorteil wenn zum Beispiel Logdateien zur Fehlersuche mitverfolgt werden sollen. Die Syntax des Befehls ist recht einfach. Um eine permanente Ausgabe der gewählten Datei zu erreichen gibt man # tail -f <Datei> ein. Nun gibt es noch die Möglichkeit die letzten N Zeilen oder auch N Bytes ausgeben zu lassen. Für die zeilenweise Ausgabe lautet der Befehl # tail -n <Anzahlzeilen> <Datei>
Um die letzten N Bytes ausgeben zu lassen gilt folgendes: # tail -c <Anzahlbytes> <Datei> Zu beachten ist nur noch, das man für Systemdateien die nötige Berechtigung braucht um diese ausgeben zu können. In den meisten Fällen darf dies nur der root-benutzer. Beobachten Sie die Logdatei /var/log/mail.log, während Sie mit IMP eine E-Mail versenden. 2.1.b Ausgaben filtern mit grep Oft ist es notwendig sich nur bestimmte Ausgaben einer Logdatei anzeigen zu lassen. Diese Filterung erreicht man mit dem Befehl grep: Syntax: grep <Suchbegriff> <Logdatei> Will man Groß- und Kleinschreibung nicht berücksichtigen, benutzt man den Parameter -i. Syntax: grep -i <Suchbegriff> <Logdatei> Filtern Sie die System-Logdatei /var/log/messages nach Anfragen an den DHCP-Server. 2.1.c Beobachten und Filtern kombiniert Es ist möglich, eine Logdatei gefiltert zu beobachten. Dazu werden die beiden Befehle tail und grep über eine sog. Pipe ( ) kombiniert: # tail -f <Logdatei> grep <Suchbegriff> Kombinieren Sie die Aufgabenstellung aus a) & b) und beobachten Sie die System- Logdatei während ein Client bootet. 2.1.d Logausgaben in eine Datei speichern Wichtig ist das vor allem dann, wenn z. Bsp. die Support-Hotline an der Fehlersuche beteiligt werden soll. Mit folgender Syntax leiten Sie die Ausgabe in eine Datei um: # tail -f <Logdatei> > <Ausgabedatei> oder mit Filter # tail -f <Logdatei> grep <Suchbegriff> > <Ausgabedatei> Beispiel: Der E-Mail-Versand des Users mit der E-Mail-Adresse zell@linuxmuster.local ist fehlerhaft und soll in einer Datei protokolliert werden, die der admin in seinem Windows- Homeverzeichnis lesen kann (alles in einer Zeile):
# grep zell@linuxmuster.local /var/log/mail.log > home/administrators/administrator/zellmail.txt Dieser Logdatei-Auszug kann nun per E-Mail an den Support geschickt werden. Wiederholen Sie die Aufgabe unter c) und leiten Sie die Ausgabe in eine Datei im Windows-Homeverzeichnis des Users admin um. 2.1.e Komplette Dateien anschauen Eine komplette Datei lässt sich am einfachsten mit dem Befehl cat anschauen. # cat <Datei> Hiermit wird die komplette Datei auf dem Bildschirm angezeigt und bleibt am Ende auf der letzten Zeile stehen. 2.1.f Komplette Dateien anschauen und filtern Bestimmte Inhalte einer Datei kann man dann durch die schon oben erwähnte Kombination von cat und grep anzeigen lassen. #cat <Datei> grep <Suchbegriff> 2.1.g Komprimierte Dateien (zip, gz, etc.) anschauen Komprimierte Dateien lassen sich am besten mit dem Befehl zcat betrachten. 2.2 in Webmin anschauen Alle Systemprotokolle des Servers können Sie auch über die grafische Oberfläche webmin einsehen. Rufen Sie dazu im Firefox die Adresse https://server:999 auf, melden Sie sich als root an und wählen Sie im Registerblatt System die Option Systemprotokolle. Prüfen Sie in die oben benutzten Log Dateien nach den entsprechenden Einträgen. Fügen Sie der Liste der Protokolldateien eine weitere hinzu z.b. userlogins 2.3 Logdateien des IPCOP Um Logdateien von Diensten, die auf dem IPCOP laufen anzuschauen, hat man wie am Server die Möglichkeiten auf der Konsole. Allerdings bietet die grafische Oberfläche des IPCOP eine sehr bequeme Art die dort laufenden Dienste auszuwerten. Als Admin (Achtung: admin des IPCOP!) angemeldet findet man im letzten Registerblatt LOGS verschiedene Optionen zur Analyse der Log Dateien. Logdatei Einstellungen Log Zusammenfassung
Proxy Logdateien Daten die der Proxy (http Cache Server - Squid) gesammelt hat. Firewall Logdateien gefilterte Liste der /var/log/messages mit den Einträgen der IP Pakete die die Firewall geprüft hat. URL Filter Logdateien Liste der geblockten http Aufrufe System Logdateien Server Logdateien des IPCOP Aufgaben (grafische Oberfläche des IPCOP): Prüfen Sie auf der Seite PROXY-LOGDATEIEN welche Nutzer wann wohin gesurft sind. Rufen Sie von Ihrer Host Maschine in einem Browser die IP Ihres Servers auf. Prüfen Sie die Einträge auf der Seite Firewall-Logdateien. 3 Allgemeine Aufgaben Wählen Sie einen Nutzer und werten Sie die Datei /var/log/linuxmuster/userlogins nach diesem Nutzer aus. Benutzen Sie dazu eine Vorgehensweise Ihrer Wahl (Konsole, webmin) Untersuchen Sie im IPCOP in der PROXY-LOGDATEIEN und stellen Sie eine Verbindung zwischen den Einträgen in /var/log/linuxmuster/userlogins und der PROXY- LOGDATEI her.