AB 10 — Linux-Kommandos vertieft

Mein Fortschritt0/1 (0 %)

Stunde gelesen

Logging – Theorie

Herkunft

Ein Logbuch ist eine in der Seefahrt übliche Form der Aufzeichnung und Archivierung der mithilfe des Logs gemessenen Fahrgeschwindigkeit, der zurückgelegten Fahrstrecke sowie von täglichen Ereignissen und Vorgängen ähnlich einem Tagebuch oder Protokoll. Wie diese ist es chronologisch aufgebaut und nicht zur Veröffentlichung bestimmt. Im Gegensatz zu einem Tagebuch dient ein Logbuch grundsätzlich als Beweismittel.

Die Weiterentwicklung eines solchen Log Buchs ist z.B. der Flugschreiber (auch Blackbox genannt) welcher in Flugzeugen alle Informationen und Kommunikationen aufzeichnet. Im Falle eines Absturzes kann so nach der Bergung des Flugschreibers die Ursache des Absturzes rekonstruiert werden.

Logging in der Informatik

Genau wie bei Schiffen und Flugzeugen erleidet beinahe jedes System irgendwann einen Systemfehler, sei er durch unsachgemäße Benutzung von Befehlen oder auch durch fehlerhafte Software oder Hardware hervorgerufen. In so einem Fall sind die Logdateien zumeist die erste Anlaufstelle um das Problem zu lokalisieren und so zu lösen, doch der Umgang mit diesen Dateien sollte geübt sein!

Logging in Linux

Die bis zu mehreren Megabytes großen Logdateien des Ubuntu-Systems sammeln sich in dem Verzeichnis: /var/log an. Bei diesen Logdateien handelt es sich um Textdateien die mit einem normalen Editor aufrufbar sind. In diesen protokolliert das System alle Aktionen und Eingaben um im Fehlerfall die Ursache rekonstruieren zu können.

Aktualisierte /var/log Tabelle (Stand 2025)

Logdatei / Ordner
Beschreibung (aktuell)
Hinweise / Besonderheiten
/var/log/auth.log
Alle Login-Versuche, sudo, sshd, PAM-Events
Sehr wichtig für Security und Forensics
/var/log/syslog
Allgemeine Systemmeldungen, viele Dienste schreiben hier hinein
Auf RHEL/Fedora weniger genutzt → journald
/var/log/kern.log
Kernel-Meldungen
Oft durch journalctl -k ersetzt
/var/log/messages
Allgemeine Systemmeldungen
Wird auf Debian/Ubuntu seltener genutzt; journald übernimmt oft
/var/log/dmesg
Kernel-Ringpuffer, Boot-Meldungen
Entspricht journalctl -k, aber persistent
/var/log/apt/
Paketinstallationen, Updates (history.log)
Zentral für Paketverwaltung
/var/log/dpkg.log
Detaillierte dpkg-Operationen
Zeigt jede Paketaktion einzeln
/var/log/apache2/
Access- und Error-Logs
Alternativ: /var/log/nginx/
/var/log/mysql/ oder /var/log/mariadb/
Error-Logs, Slow-Query-Logs
Oft zusätzlich über journalctl sichtbar
/var/log/boot.log
Boot-Meldungen und Dienste während des Systemstarts
Ergänzt journalctl -b
/var/log/faillog
Fehlgeschlagene Login-Versuche
Ergänzt auth.log
/var/log/lastlog
Letzte erfolgreiche Logins
Wird mit lastlog angezeigt
/var/log/wtmp
Alle Logins & Logouts
Lesbar mit last
/var/log/btmp
Fehlgeschlagene Logins
Lesbar mit last -f /var/log/btmp
/var/log/mail/
Mailserver-Logs (Postfix, Exim…)
Auf Desktop-Systemen oft leer
/var/log/Xorg.0.log
X-Server Logs
Wayland ersetzt X11 zunehmend
/var/log/acpid
ACPI Ereignisse
Moderne Systeme nutzen systemd-logind
/var/log/journal/
Binäre systemd-Journaldaten
Zentraler Speicherort für journalctl

Wichtigste Logs für Fehleranalyse

Bereich
Relevante Logs
Authentifizierung / Sicherheit
auth.log, faillog, btmp, wtmp
Systemd / Dienste
syslog, journalctl -u <service>
Kernel / Hardware
kern.log, dmesg, journalctl -k
Paketmanagement
apt/history.log, dpkg.log
Netzwerk
syslog, journalctl -u NetworkManager
Webserver
apache2/*, nginx/*
Datenbanken
mysql/error.log, journalctl -u mysql

Alle diese Log Dateien sind nur einfache Textdateien und können deswegen mit jedem Editor betrachtet werden. Da es sich meistens um große Textdateien handelt, gibt es allerdings spezielle Befehle die das betrachten vereinfachen wie z.B.:

head

tail

less