Firmenbrief

20.04.2010

Tipps vom LIS-Service. Heute: MARK-Eintrag im Syslog


 

Frage an den LIS-Service:
Wenn ich auf meinem Linux-System meine Syslog-Dateien betrachte, fällt mir immer wieder der Eintrag -- MARK -- auf - was sagt mir das?

Antwort vom LIS-Service:
Zunächst wollen wir klären, was die Logdatei syslog überhaupt ist und woher diese stammt.

In einem Linux-Betriebssystem wird in der Regel jeder Vorgang protokolliert. Für die Steuerung der Logging-Dateien ist hierbei "syslogd" verantwortlich, zuständig für das Protokollieren von Systemereignissen. Hier stellen wir unter anderem das Ziel für die Logdateien ein, beispielsweise "Was wird wohin protokolliert". Durch diese Konfiguration entstehen die unterschiedlichen Logdateien, die wir so kennen.

Für die Protokollierung stehen unterschiedliche Klassen für das Logging zur Verfügung. Beispiele sind

-mail -auth

Damit alles aufgezeichnet wird, was protokolliert werden sollte, wird ein Sammler für die nicht klassifizierten Loggings eingerichtet. Per Default ist dies die Syslog-Datei.

Im Detail sieht die Konfiguration für das Syslog aus wie folgt:


1 auth,authpriv.* /var/log/auth.log
2 *.*;auth,authpriv.none -/var/log/syslog

Das *.* in der Zeile 2 signalisiert, dass Syslogd alle Ereignisse in die Syslog-Datei schreiben soll, und deshalb finden wir in Syslog alle Systemereignisse. Wenn der Server/Client nun aber über einen längeren Zeitraum keine Ereignisse zu protokollieren hat und auf einmal nichts mehr tut, kann auch der Zeitpunkt für einen Ausfall nahezu nicht mehr eingegrenzt werden.

An dieser Stelle kommt der Syslog Eintrag '-- MARK --' ins Spiel. Dieser wird alle paar Minuten als eine Art Lebenszeichen ins Syslog geschrieben. Einige Syslogd-Versionen unterdrücken den Eintrag, wenn während des Intervalls andere Ereignisse protokolliert wurden. Dann erscheint dieser nur dann, wenn ansonsten keine Lebenszeichen des Syslogd sichtbar wären.