Firmenbrief

19.02.2014

CoreBiz: Datenflut im Griff mit Logcheck


Viele Administratoren kennen das Problem: Jeder Dienst eines Servers schreibt in der Regel Meldungen unterschiedlichster Art in ein Logfile. Auf Debian/Ubuntu basierten Systemen nutzen die meisten Dienste syslog, Einträge landen damit in /var/log/syslog. Ab einer gewissen Anzahl von Servern ist es aber praktisch unmöglich, den Überblick über Logfiles zu behalten. Man nutzt diese nur noch, um nachträglich, nach dem Auftreten von Fehlern, eine Diagnose durchführen zu können.

Oft wäre es jedoch hilfreich, besonders wichtige Meldungen zeitnah zu erkennen, um schlimmere Auswirkungen zu vermeiden. Man denke hier zum Beispiel an einen Lesefehler auf der Festplatte. Das ist oft ein Zeichen, dass eine Festplatte in absehbarer Zeit sämtliche Dienste verweigern wird. Entdeckt man solche Meldungen in den Logfiles nicht, kann das im schlimmsten Fall zu einem Datenverlust oder einer längern Ausfallzeit eines Servers führen.

Es gibt verschiedene Methoden, um die Datenflut in den Griff zu bekommen. Man kann zum Beispiel einen zentralen Syslog-Server in Betrieb nehmen, um die Daten an einem Ort zu speichern und zu analysieren. Auch Monitoring-Systeme können in der Regel diese Aufgaben abdecken, erfordern jedoch ein weiteres System und entsprechenden Konfigurationsaufwand.

Eine extrem einfache Variante um wichtige Logmeldungen herauszufiltern ist "Logcheck". Damit können anhand einfacher Regeln Logfiles gefiltert werden und per Mail an den Administrator geschickt werden. Ist der Regelsatz für die eigenen Bedürfnisse optimiert, bekommt man nur noch relevante (bzw. ungewöhnliche) Meldungen zugeschickt und kann darauf reagieren.

CoreBiz-Kunden können sich freuen: Sämtliche CoreBiz-Systeme sind per Default Logcheck aktiviert und sind passend zum Produkt sinnvoll vorkonfiguriert. Natürlich können die Regeln kundenspezifisch erweitert werden: Die aus einem regulären Ausdruck bestehenden Regeln findet man unter /etc/logcheck. Logcheck wird einmal pro Stunde durch Cron aktiviert und durchsucht per Default /var/log/syslog und /var/log/auth.log. Um die Mails zu erhalten, muss der lokale Mail-Server des Systems konfiguriert sein. Die Mails werden dann an die Adresse logcheck@... geschickt.


Nachfolgend ein Beispiel für eine durch Logcheck generierte Mail:

===========================================
Von: logcheck system account
An: logcheck@linux-ag.com
Datum: 2014-02-12 12-02

This email is sent by logcheck. If you no longer wish to receive
such mail, you can either deinstall the logcheck package or modify
its configuration file (/etc/logcheck/logcheck.conf).

System Events
=-=-=-=-=-=-=
Feb 12 11:46:42 coreboso-bas passwd[20292]: pam_unix(passwd:chauthtok):
password changed for root
===========================================

Weitere Informationen zu Logcheck finden Sie auch direkt auf der Debian-Webseite