Log Dateien

Cloud Leave a comment

Titelbild: Image by Luciano FELIX from Pixabay

Ein systematischer und ggf. kontinuierlicher Blick in verschiedene Logprotokolle, Verhaltensmuster etc. kann unsere Sinne zur Erhöhung der Cybersicherheit schärfen.

Das Auslesen von Logdateien auf Linux-Systemen erfolgt meist direkt im Terminal mit klassischen Befehlen wie cat, less, tail, grep oder spezialisierten Tools wie journalctl für systemd-Logs oder Analysetools wie Graylog.

Um Logdateien überhaupt ohne root Rechte auslesen zu können, musst du als User zur Gruppe adm gehören. Das kannst du mit dem Befehl group überprüfen. Alternativ kannst Du sudo benutzen falls du dazu berechtigt bist.

cat: zeigt den gesamten Inhalt einer Logdatei an, etwa wie folgt für Systemlogs.

cat /var/log/syslog

less: blättert seitenweise durch die Datei – praktisch bei sehr großen Logs, wie zum Beispiel: 

less /var/log/syslog

grep: durchsucht gezielt nach Stichworten wie Fehlern: 

grep "Fehler" /var/log/syslog

tail: ist darauf ausgelegt, die letzten Zeilen einer Datei auszugeben. Es ist also ideal, um die aktuellsten Informationen aus einem Protokoll auszugeben.

tail /var/log/syslog

journalctl: Für systemd-basierte Systeme, z. B. alleLogs mit journalctl, Echtzeit-Mitschnitt mit journalctl -f, service-spezifisch z. B. journalctl -u nginx

journalctl
journalctl -f journalctl -u nginx

Typische Logdateien

Die meisten Logs liegen unter /var/log, zum Beispiel:

  • /var/log/syslog bzw.
  • /var/log/messages (allgemeine Systemmeldungen)
  • /var/log/dmesg (Kernel-Meldungen)
  • /var/log/auth.log bzw.
  • /var/log/secure (Authentifizierungsversuche)
  • Webserver-, Mailserver-, oder Applikationslogs (häufig als .log-Dateien)

Beispiele für den Einstieg

Beachte: es gibt hier und da Unterschiede bei den Namen der Logfiles, je nach Distribution. Zum Beispiel syslog (Ubuntu) versus messages (Alma) oder auth.log (Ubuntu) versus secure (Alma) etc

less /var/log/syslog
tail -f /var/log/syslog
grep "Fehler" /var/log/syslog
grep "Failed password“ /var/log/secure bei Linux Alma
journalctl -f

Weitere Texte für diesen Beitrag folgen in Kürze …Stichworte: fail2ban etc.

Hinweis: Ich bevorzuge in meinen Texten aus Gründen der besseren Lesbarkeit das Generisches Maskulinum. Weibliche und andere anderweitige Geschlechtsidentitäten werden dabei ausdrücklich mit gemeint, soweit es für die Aussage erforderlich ist.

Dieser Blog verfolgt keine kommerziellen Interessen. Etwaige Werbung ist kostenfrei! #supportyourlocal

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

This site uses Akismet to reduce spam. Learn how your comment data is processed.