Kapitel 15: Protokollverwaltung (Log-Management)

15.1 Speicherort von Protokolldateien (/var/log-Verzeichnis)

Wichtige Protokollverzeichnisse:

• /var/log/: Hauptverzeichnis für Systemprotokolle
• /var/log/syslog: Allgemeine Systemprotokolle (Ubuntu/Debian)
• /var/log/messages: Allgemeine Systemprotokolle (CentOS/RHEL)
• /var/log/auth.log: Authentifizierungsprotokolle (Ubuntu/Debian)
• /var/log/secure: Authentifizierungsprotokolle (CentOS/RHEL)
• /var/log/kern.log: Kernel-Protokolle
• /var/log/dmesg: Kernel-Puffer-Nachrichten
• /var/log/boot.log: Boot-Protokoll
• /var/log/dpkg.log: Paketverwaltungsprotokolle (Ubuntu/Debian)
• /var/log/yum.log: Paketverwaltungsprotokolle (CentOS/RHEL)

Dienst-spezifische Protokolle:

• /var/log/nginx/: Nginx-Webserver-Protokolle
• /var/log/apache2/ oder /var/log/httpd/: Apache-Webserver-Protokolle
• /var/log/mysql/: MySQL-Datenbank-Protokolle
• /var/log/audit/: SELinux-Audit-Protokolle

15.2 Systemprotokolle und Fehlerprotokolle anzeigen (tail, cat-Befehl)

Protokolle in Echtzeit überwachen:

tail -f /var/log/syslog           # Ubuntu/Debian
tail -f /var/log/messages        # CentOS/RHEL

Letzte 10 Zeilen anzeigen:

tail /var/log/syslog
tail /var/log/auth.log

Gesamtes Protokoll anzeigen:

cat /var/log/syslog
less /var/log/syslog              # Besser für große Dateien

Bestimmte Zeilen anzeigen:

head -n 20 /var/log/syslog       # Erste 20 Zeilen
tail -n 50 /var/log/syslog       # Letzte 50 Zeilen

Nach Schlüsselwörtern suchen:

grep "error" /var/log/syslog
grep -i "failed" /var/log/auth.log

15.3 Systemfehler über Protokolle beheben (Praxis für Anfänger)

Schritt-für-Schritt-Anleitung:

Szenario 1: SSH-Anmeldefehler überprüfen

1. Protokolldatei öffnen:

   sudo tail -f /var/log/auth.log             # Ubuntu/Debian
   sudo tail -f /var/log/secure              # CentOS/RHEL

2. Fehlermeldungen suchen:

   grep "Failed password" /var/log/auth.log
   grep "Invalid user" /var/log/auth.log

3. Lösungen:
   • Falsches Passwort: Passwort zurücksetzen
   • Unbekannter Benutzer: Benutzerkonto erstellen
   • Brute-Force-Angriff: Fail2ban installieren

Szenario 2: Webserver-Fehler beheben

1. Nginx-Fehlerprotokoll überprüfen:

   sudo tail -f /var/log/nginx/error.log

2. Häufige Fehler:
   • permission denied: Berechtigungen mit chmod/chown korrigieren
   • no such file or directory: Dateipfad in Konfiguration korrigieren
   • address already in use: Port-Konflikt mit sudo ss -tulnp | grep Port prüfen

Szenario 3: Systemstartfehler diagnostizieren

1. Boot-Protokoll überprüfen:

   cat /var/log/boot.log

2. Kernel-Nachrichten prüfen:

   dmesg | grep -i error
   dmesg | grep -i fail

3. Dienstfehler prüfen:

   sudo systemctl status fehlgeschlagener_dienst
   sudo journalctl -u fehlgeschlagener_dienst

Praxistipps:

• Verwenden Sie tail -f, um Protokolle in Echtzeit zu überwachen
• Kombinieren Sie grep mit regulären Ausdrücken für präzisere Suche
• Speichern Sie wichtige Protokolle vor dem Löschen
• Richten Sie eine Protokollrotation ein (logrotate), um Speicherplatz zu sparen