Firmenbrief

16.05.2012

Tipps vom LIS-Service: Was ist der MARK-Eintrag im Syslog?


Frage an den Service:

 

Wenn ich auf meinem Linux-System meine Syslog-Dateien betrachte, fällt mir immer wieder der Eintrag -- MARK - auf. Was sagt mir das?

Antwort von dem LIS-Service:


Zunächst klären wir, was die Logdatei syslog ist und woher sie stammt.

In einem Linux-Betriebssystem wird in der Regel jeder Vorgang protokolliert. Für die Steuerung der Logging-Dateien ist hierbei "syslogd" verantwortlich, damit werden Systemereignisse protokolliert. Hier stellen wir unter anderem das Ziel für die Logdateien ein, beispielsweise "Was wird wohin protokolliert".

Für die Protokollierung stehen unterschiedliche Klassen für das Logging zur Verfügung. Ein Beispiel:

-mail -auth

Damit alles aufgezeichnet wird, was protokolliert werden sollte, wird ein Sammler für die nicht klassifizierten Loggings eingerichtet. Per Default ist dies die Syslog-Datei.

Im Detail sieht die Konfiguration für das Syslog aus wie folgt:

1 auth,authpriv.* /var/log/auth.log
2 *.*;auth,authpriv.none -/var/log/syslog

Das *.* in der Zeile 2 signalisiert, dass Syslogd alle Ereignisse in die Syslog-Datei schreiben soll, und deshalb finden wir in Syslog alle Systemereignisse. Wenn der Server/Client nun aber über einen längeren Zeitraum keine Ereignisse zu protokollieren hat und auf einmal nichts mehr tut, kann auch der Zeitpunkt für einen Ausfall nahezu nicht mehr eingegrenzt werden.

An dieser Stelle kommt der Syslog Eintrag '-- MARK --' ins Spiel. Dieser wird alle paar Minuten als eine Art Lebenszeichen ins Syslog geschrieben. Einige Syslogd-Versionen unterdrücken den Eintrag, wenn während des Intervalls andere Ereignisse protokolliert wurden. Dann erscheint dieser nur dann, wenn ansonsten keine Lebenszeichen des Syslogd sichtbar wären.