Frage zu Logfiles

D

Domi

Member
Hallo Leute, ich habe da mal eine kleine und vielleicht auch Grundlegende Frage an Euch wegen den Log Files. Ich verwende auf meinen Ubuntu Systemen den syslog-ng zum Loggen, was auf dem Server so passiert.

Nun gibt es ja das eine oder andere Grundlegende Log-File wo dann spezifisch alles drin steht, ohne Filter. Ich hoffe das war und wird jetzt richtig...
- auth.log (alles was Anmeldungen betrifft, Samba, SSH, Cronjob etc.)
- boot.log (betrifft den Bootvorgang)
- mail.log (betrifft alles für Mails, Fetchmail, Postfix, Dovecot etc.)
- syslog (Logs jeglicher Programme, Dienste oder Temperaturen)

weiter will ich jetzt nicht gehen, nicht das ich noch mehr Unsinn erzähle :D
Es geht mir jetzt um folgendes, auf meinem Server Zuhause habe ich "dnsmasq" installiert. Und dieser schreibt sich sowohl in die syslog, als auch in die daemon.log, was mit Sicherheit auch korrekt ist da es einmal das System betrifft und der dnsmasq ja nun mal ein daemon ist und auch als daemon ausgeführt wird.

So, dem syslog-ng verbieten, dass er Fehler in die mail.log schreibt wäre ja mit Sicherheit falsch da die mail.log ja das Log File ist wo alles rein soll, richtig? Dann wäre doch der korrekte Ansatz, alle Fehler die im mail.log auftauchen, in die mail.err (als Kopie) zu schreiben, richtig?

Dann würde der Fehler einmal in der mail.log und der mail.err Protokolliert werden. Ist der Ansatz soweit richtig?

Ich weiß, man kann es sich auch einfacher machen mit einem 'tail /var/log/mail.log | grep error' oder so etwas ähnliches. Aber aus Gewohnheit ist es drin, dass ich den Log mit 'vim' öffne und dort stöbere. Und wenn ich dann immer so viel darin finde, würde ich das gerne ein wenig aufteilen.

Oder habt Ihr da einen besseren Trick / kniff wie Ihr so etwas durchschaut?
Also bei mir funktioniert alles, ich finde auch alles was ich brauche. Aber ich darf dann immer so viel suchen und manches betrifft dann nicht mein Problem.

Ich hoffe man versteht was ich meine...
a. Macht es Sinn, bestimmte Events in einem bestimmten Log-File auszuschließen und zu trennen oder
b. sollte man es nicht ausschließen, man könnte es aber trennen

Gruß, Domi
 
Ist letztlich sicher auch eine Frage des Geschmacks und vor allem des individuellen Anwendungsfalls. Wir halten es auf den meisten Servern so, dass alle Daemons ihre eigenen Logs bekommen (hält das syslog frei), und zwar meistens nur eins. Je nach dem, wie viel die denn loggen müssen; denn wir präferieren, des Weiteren, exzessives (Debugging-)Logging nur bei Bedarf zu aktivieren und ansonsten nur Informationen von tatsächlicher Relevanz mitzuschreiben.

Von dem Logging ein und derselben Meldung in verschiedene Logfiles halte ich persönlich gar nichts. ;)
 
Moin moin.. Sorry für die späte Rückmeldung und schon mal meinen besten Dank für die Information. Die "mail.log" wollte ich jetzt auch nicht unbedingt aufteilen, es sei denn ich suche vielleicht explizit einen Fehler... Aber da könnte ich dann noch damit leben, in der einen log Datei zu suchen.

Das einzige was ich wirklich permanent getrennt halte sind die Apache Logs (access und error) um mit "teil -f" nur die Fehler zu sehen, wenn ich das Log File öffne :)

Was das freihalten vom syslog angeht, da muss ich mir die Config des syslog-ng noch einmal zu Gemüte ziehen. Das splitten einiger Dienste in separate Logs hatte ich damit ohne Probleme hin bekommen, aber diese dann vom syslog fern zu halten, war dann wieder eine weitere Thematik und hatte es dann erst einmal so gelassen, damit mir nicht irgendwann etwas fehlt ;)

Gruß, Domi
 
Logfile Auswertung mit vim? Wie wärs denn mal mit tail und grep? :p
Abgesehen von Mail und Webserver bevorzuge ich ein globales Log in dem alles drin landet. Dann gibt es da auch nichts doppelt und es lässt sich wunderbar auswerten. ;)
 
Wenn man mehrere Kisten hat und vielleicht sogar schon eine für eine art NOC benutzt, dann ist zentrales Logging auch eine super Sache. Mit Graylog2 oder Logstash. Oder auch Splunk (kommerziell). Da kann man super Logs auswerten und die Vergangenheit durchforsten. Und auch Beziehungen zwischen Logs herstellen oder schicke Auswertungen visualisieren.

Edit: Das setzt natürlich ein entsprechendes Interesse an den Logs voraus. (Z.B. wegen formaler Anforderungen durch SLA) Wie andere im Thread schon bemerkt haben, dürfte man gut damit fahren die Logs einfach anfallen zu lassen und reinzuschauen, wenn man ein konkretes Problem hat.
 
Last edited by a moderator:
@Firewire2002, ich schaue ganz gerne mit vim in die Log Files rein. tail (auch in Verbindung mit grep) verwende ich eigentlich nur, wenn ich mal die error.log vom Apache durch schaue um Fehler zu suchen während ich an PHP Seite herum baue :)

Damit bin ich eigentlich immer sehr gut gefahren :D
 
Log-Files wertet man doch nicht alltäglich vollständig manuell aus. Das ist doch schade um die Zeit. Und als Bettlektüre könnt ich mir auch schöneres als Logs vorstellen.
Wenn man nicht gerade große Analyse-Tools installiere und konfigurieren will, reicht oftmals auch sowas einfaches wie "logcheck". Der bringt zwar schon einige Filter für Kram den keinen interessiert mit, aber mit bisschen Fein-Tuning und einer eigenen ignore-Liste fallen da dann am Tag noch eine handvoll Zeilen bei raus, die tatsächlich interessant sein könnten.
In aller Regel sind aber selbst die eher informativ. Ich könnt mich spontan nicht dran erinnern, jemals betriebskritische Sachen im Log gefunden zu haben, die nicht auch durch andere Symptome aufgefallen wären.
 
Naja, täglich werte ich diese auch gar nicht aus. Aber wenn ich dann mal in die Logs rein schaue, gucke ich halt mit dem vim da rein.

Klar, mit tail funktioniert das bestimmt auch sehr praktisch, aber irgendwie finde ich den vim für mich praktischer und ich finde eigentlich immer alles was ich suche :)

Ich kann ja mal versuchen, mich mit tail und grep für die alltäglichen Logs und der Analyse anzufreunden :D

Gruß, Domi
 
You must log in or register to reply here.
Back
Top