Linux Logs verstehen: Das Gedächtnis des Betriebssystems

von

Stefan
in ,

Wer mit Linux arbeitet – sei es als Entwickler, Administrator oder ambitionierter Hobby-User – kommt früher oder später mit Logs in Kontakt. Logs sind die Protokolle des Systems: Sie halten fest, was auf dem Rechner passiert, welche Prozesse laufen, welche Fehler auftreten und wie Nutzer mit dem System interagieren.

In diesem Artikel erfährst du, warum Logs so wichtig sind, wo du sie findest, wie du sie liest und welche Werkzeuge es gibt, um sie effektiv zu nutzen.

Was sind Logs?

Logs sind Textdateien, die Informationen über Ereignisse im Betriebssystem oder in Anwendungen speichern. Sie sind die „Tagebücher“ des Systems und liefern wertvolle Hinweise für:

  • Fehleranalyse: Warum startet ein Dienst nicht?
  • Sicherheitsüberwachung: Wer hat sich wann eingeloggt?
  • Performance: Welche Prozesse belasten das System?
  • Auditing: Was ist wann auf dem Server passiert?

Ohne Logs wäre ein Linux-System eine Blackbox – mit Logs bekommt man einen klaren Blick ins Innere.

Wo findet man Logs in Linux?

Standardmäßig werden die meisten Logs unter /var/log/ gespeichert. Dort findest du zahlreiche Dateien, zum Beispiel:

  • /var/log/syslog oder /var/log/messages – allgemeine Systemmeldungen
  • /var/log/auth.log – Authentifizierungsversuche (Login, SSH)
  • /var/log/kern.log – Kernel-Meldungen
  • /var/log/dmesg – Hardware- und Bootmeldungen
  • /var/log/apache2/ – Logs des Apache-Webservers
  • /var/log/nginx/ – Logs des Nginx-Webservers

Jede Anwendung kann eigene Logdateien anlegen, je nach Konfiguration.

Systemd und Journald

Moderne Linux-Distributionen nutzen oft systemd. Damit kommt auch der journalctl-Dienst ins Spiel. Statt nur in Textdateien zu schreiben, werden Logs hier binär gespeichert und lassen sich mit dem Befehl journalctl abfragen.

Beispiele:

  • Alle Logs anzeigen: journalctl
  • Logs seit dem letzten Boot: journalctl -b
  • Nur Kernel-Meldungen: journalctl -k
  • Live-Logs wie tail -f: journalctl -f

Systemd hat Logging damit zentralisiert und macht es leichter, gezielt nach bestimmten Ereignissen zu suchen.

Wie liest man Logs?

Logs sind oft sehr ausführlich. Mit ein paar Befehlen kannst du sie aber effizient durchforsten:

  • cat oder less: Inhalte anzeigen
  • tail -f: Neue Einträge live verfolgen
  • grep: Nach Stichworten suchen grep "error" /var/log/syslog
  • awk oder cut: Bestimmte Spalten filtern
  • zcat: Auch komprimierte Logs (.gz) lesen

Typische Logdateien im Detail

Authentifizierungs-Logs (/var/log/auth.log)

Wichtige Informationen über erfolgreiche und fehlgeschlagene Login-Versuche. Beispielauszug:

Sep 18 12:01:15 server sshd[1234]: Accepted password for anna from 192.168.1.10 port 50234 ssh2
Sep 18 12:05:42 server sshd[1234]: Failed password for invalid user root from 203.0.113.5 port 33445 ssh2

Hier kann man sofort sehen: Nutzer „anna“ hat sich eingeloggt, während jemand anderes erfolglos versuchte, sich als „root“ anzumelden – ein möglicher Angriff.

Kernel-Logs (/var/log/kern.log)

Zeigen Nachrichten des Linux-Kernels: Treiber, Hardware, Netzwerkkarten etc.

Webserver-Logs (/var/log/apache2/access.log)

Protokollieren Zugriffe auf Websites. Beispiel:

192.168.1.15 - - [18/Sep/2025:14:35:21 +0200] "GET /index.html HTTP/1.1" 200 1024

Man sieht IP-Adresse, Uhrzeit, Anfrage und HTTP-Statuscode.

Warum Logs wichtig für die Sicherheit sind

Logs sind nicht nur für die Fehlersuche da – sie sind auch ein zentrales Werkzeug der IT-Sicherheit.

  • Einbruchserkennung: Verdächtige Login-Versuche oder ungewöhnliche Prozesse.
  • Forensik: Nach einem Angriff können Logs helfen, den Ablauf nachzuvollziehen.
  • Compliance: In vielen Branchen müssen Logs aus rechtlichen Gründen aufbewahrt werden.

Tipp: Nutze Tools wie fail2ban, die Logs überwachen und automatisch Angreifer blockieren können.

Log-Management und Rotation

Da Logs ständig wachsen, müssen sie verwaltet werden. Hier kommt logrotate ins Spiel.

  • Alte Logs werden automatisch archiviert (oft als .gz).
  • Neue Dateien beginnen frisch.
  • Man kann einstellen, wie lange Logs aufbewahrt werden.

Beispiel: /etc/logrotate.conf

/var/log/syslog {
    weekly
    rotate 4
    compress
    missingok
    notifempty
}

Das bedeutet: wöchentliche Rotation, 4 Archive behalten, Dateien komprimieren.

Zentrale Log-Verwaltung

In größeren Umgebungen reicht es nicht, Logs auf jedem Server einzeln zu prüfen. Dafür gibt es zentrale Logging-Systeme wie:

  • rsyslog: Standard-Dienst zum Weiterleiten von Logs
  • ELK-Stack (Elasticsearch, Logstash, Kibana): Logs sammeln, durchsuchen und visualisieren
  • Graylog oder Splunk: Beliebte Enterprise-Lösungen

Damit lassen sich Logs zentral analysieren, durchsuchen und grafisch darstellen.

Tools zur Log-Analyse

  • journalctl – für systemd-Logs
  • logwatch – generiert tägliche Reports
  • goaccess – Analyse von Webserver-Logs
  • fail2ban – Sicherheitsüberwachung
  • Grafana + Loki – modernes, cloudbasiertes Log-Monitoring

Tipps für den Alltag

  1. Automatisieren: Nicht manuell Logs durchsuchen – Tools helfen.
  2. Filter setzen: Mit grep, journalctl -u service oder Zeitfiltern.
  3. Sicherheit beachten: Logs enthalten oft sensible Daten. Zugriff einschränken!
  4. Regelmäßig prüfen: Nicht erst im Notfall reinschauen.
  5. Alarmierungen: Tools können automatisch bei Auffälligkeiten benachrichtigen.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert