seventyfour - stock.adobe.com

Welche Optionen für das Log-Management gibt es unter Linux?

Wollen Administratoren die Logs analysieren und wissen, wann und wo was passiert, dann brauchen sie gute Tools. Eine Kombination aus syslog und systemd-journald eignet sich dafür.

Systemd-journald im Service-Manager systemd ist heutzutage eine häufig benutzte Variante für das Log-Management unter Linux. Da systemd-journald Teil des Systems ist, kann es Log-Nachrichten von allen Komponenten sammeln, die mit systemd zu tun haben. Dazu gehören auch Remote-Server. Allerdings bietet systemd-journald nicht so viele Funktionen wie rsyslog.

Zum Beispiel ist systemd-journald nicht so flexibel, wenn es um die Log-Ziele geht. Es kann Logs von den Remote-Servern sammeln, die andere Richtung funktioniert aber nicht. Administratoren können rsyslog anweisen, Log-Nachrichten in eine Datenbank zu schreiben. Nachrichten von systemd-journald werden allerdings in ein Log im Speicher im Ordner /run geschrieben. Administratoren können permanentes Logging von systemd-journald lediglich so konfigurieren, dass das Resultat im Verzeichnis /var/log/journal abgelegt wird.

Wie Administratoren Informationen von Log-Dateien sammeln, kommt auf die Konfiguration der Logs an. Bei einer Standardkonfiguration speichert jeder Server seine Logs im lokalen Verzeichnis /var/log. Der Administrator tut sich schwer, will er herausfinden, wann etwas wo passiert.

Will ein System-Administrator intelligentes Log-Management unter Linux betreiben, sollte er systemd-journald so konfigurieren, dass die Nachrichten an rsyslog weitergeleitet werden. In diesem Fall lässt sich rsyslog so konfigurieren, dass die Nachrichten auf einem zentralen Log-Server abgelegt werden.

Open-Source-Alternativen

Es gibt auch Log-Monitoring-Systeme, die als Open Source entwickelt werden. Logwatch (in den gängigen Distributionen enthalten) analysiert Log-Dateien für einen gewissen Zeitrahmen und arbeitet mit verschiedenen Parametern, um einen Bericht zu erstellen.

Logcheck scannt System-Logs nach speziellen Informationen, die ein Administrator aus dem Log filtern möchte. Es wurde kreiert, um Administratoren in Echtzeit zu benachrichtigen. Administratoren können Logcheck so konfigurieren, dass die Software E-Mails an ihre Adresse schickt.

Suchen Administratoren ein komplettes System mit einer webbasierten Monitoring-Option, sollten sie auch Graylog2 in Betracht ziehen. Damit können Administratoren Daten sammeln, indexieren und analysieren. Die Quelle ist dabei egal und die Resultate werden übersichtlich in einem Dashboard dargestellt. Dort sehen Sie, wann was und wo passiert.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Log-Daten filtern und analysieren

Logfiles und Protokolldaten auswerten

Mit Logfiles aus der Cloud richtig umgehen

Erfahren Sie mehr über Data-Center-Betrieb