Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Logfiles richtig lesen

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
suschi
Newbie
Newbie
Beiträge: 15
Registriert: 8. Aug 2007, 19:55

Logfiles richtig lesen

Beitrag von suschi » 8. Aug 2007, 20:01

Hallo Leutchen,

wie kann ich Logfiles richtig lesen ?

Gibt es eine kleiner Erklärung irgendwo dazu ?

Welches sind die wichtigsten Log´s. ??

Möchte halt grob schauen was auf meiner Kiste dann so passiert, z.B. unerwünschte Mail verschicken über meinen smtp oder ähnliches...

Gruß
suschi

Werbung:
pft
Advanced Hacker
Advanced Hacker
Beiträge: 843
Registriert: 22. Dez 2004, 13:01

Beitrag von pft » 9. Aug 2007, 09:23

dazu gibt es die ganz speziellen, hochkomplexen tools 'cd', 'ls','less' :D (meinetwegen auch konqueror wenn Du es mit der Konsole nicht so hast)
Ansonsten Augen auf und Hirn einschalten :lol:

stöber damit unter /var/log herum und du wirst sehen, dass das alles gar nicht so kompliziert ist.

die Datei Mail hat die Meldungen zu Mailprogrammen wie Postfix oder was du installiert hast
'fetchmail' (bei mir so eingerichtet) hat die ausgaben von fetchmail
unter '/var/log/samba/' findest Du Logdateien zu ... jetzt rate mal.

und alles was nicht in eine separate Datei geschrieben wird landet i.d.R. in /var/log/messages

ach, ja der boot Vorgang ist in 'boot.msg' dokumentiert - hätte mannicht gedacht oder?

schau dir das mal an und melde dich wenn du echte Fragen hast
Sagt der Porsche bei 250 km/h zu seinem Fahrer: "Ich kann noch mehr - Du auch?"
... Ich hab zwar keinen Porsche aber dafür Linux

admine
Administrator
Administrator
Beiträge: 8782
Registriert: 15. Feb 2004, 21:13
Kontaktdaten:

Beitrag von admine » 9. Aug 2007, 10:45

Und man kann in diesen Log-Files recht gut "grep"en nach "Error" oder "Warning" ;)
..:: unser Linux-Club-Wiki ::..
-------------------------
..:: Deutsche Mugge ::..
-------------------------

suschi
Newbie
Newbie
Beiträge: 15
Registriert: 8. Aug 2007, 19:55

Beitrag von suschi » 9. Aug 2007, 20:10

hey,

kannst du mir erklären was diese kürzel bedeuten ?

Kann ich z.B. sehen ob eine datei hochgeladen wurde ?
oder wie und wo kann ich sehen das mein server evtl. als spam maschine benutzt wird.??

kleine tipps reichen mir, den rest versuch ich mir durchzulesen und zu grübeln...nur wenn ich net mehr weiter weiss melde ich mich wbei euch :roll:

gruß
suschi

pft
Advanced Hacker
Advanced Hacker
Beiträge: 843
Registriert: 22. Dez 2004, 13:01

Beitrag von pft » 10. Aug 2007, 09:34

kannst du mir erklären was diese kürzel bedeuten ?
welche Kürzel ???

Kann ich z.B. sehen ob eine datei hochgeladen wurde ?
vermutlich gar nicht, es sei denn dein ftp (falls Du damit hochlädst) ist so geschwätzig konfiguriert das er das ins log schreibt. Meist schreibt man nur Warnugnen nd Fehler ins log
oder wie und wo kann ich sehen das mein server evtl. als spam maschine benutzt wird.??
auch schwer ausser daran dass Du plötzlich heftig unbekannten Mailverkehr hast. Das hängt aber davon ab inwieweit Du Spam von normalen Traffic unterscheiden kannst. Oder Du erzeugst dir durch geschickte Auswertungen der log files eine Art Mailstatisitk (versandte mails pro Std.); abe das geht eben nicht so auf dem direkten Weg, so es nicht schon Tools dafür gibt - kann sein, kenn ich aber nicht
Sagt der Porsche bei 250 km/h zu seinem Fahrer: "Ich kann noch mehr - Du auch?"
... Ich hab zwar keinen Porsche aber dafür Linux

Leviathan
Hacker
Hacker
Beiträge: 510
Registriert: 30. Aug 2006, 15:30
Wohnort: Nürnberg

Beitrag von Leviathan » 10. Aug 2007, 09:42

Ich benutze viel tail. Beispiel

tail -f /var/log/messages

Zeigt die letzten 15 Zeilen der Datei an und das im "Followmode". D.h. aktuelle neue Einträge werden mit angezeigt.

Gruß Dominik

suschi
Newbie
Newbie
Beiträge: 15
Registriert: 8. Aug 2007, 19:55

sorry...

Beitrag von suschi » 16. Aug 2007, 08:40

Hey Jungs,

danke für die ganzen Antworten. Konnte beruflich länger net online gehen.

Hey PFT:
Die Kürzel die ich meinte waren z.B.
74.6.25.119 - - [18/Jul/2007:22:01:57 +0200] "GET /viewtopic.php?t=8&highlight

Und was bedeutet : grep im Logfile ?

Das mit dem Mailserver : Ich benutze qmail. Wo kann ich denn ersehen im Log wie der Versand und Empfang der Mail geloggt wird.???

Habe in meinen Message Log folgenden Eintrag :
Jul 24 23:26:13 h1238183 sshd[12255]: Invalid user index from 125.206.111.147
Jul 24 23:26:13 hxxxxxx sshd[12255]: reverse mapping checking getaddrinfo for fsc-netcom.biz failed - POSSIBLE BREAKIN ATTEMPT!
Was bedeutet das ? Bekomme ich immer den Versuch das jemand auf dem SSH Port versucht reinzukommen ?

Macht es Sinn den FTP mit zu loggen? Wenn ja wie stelle ich das ein ?

Wenn eine Datei über PHP hochgeladen wird wie kann ich das im Log erkennen ?

Ich weiss Jungs sehr viele Fragen :oops: :oops: :oops:

Gruß
suschi


[/quote]

b3ll3roph0n
Moderator
Moderator
Beiträge: 3669
Registriert: 4. Dez 2005, 13:17
Kontaktdaten:

Beitrag von b3ll3roph0n » 16. Aug 2007, 08:59

Ich lese hier immer "Server", "GET" (=> WebServer), "sshd", "FTP", "qmail", etc.

Ich hoffe doch es handelt sich nicht um einen Root-Server ... :roll:

Falls doch, solltest du dies alles bereits wissen und nicht jetzt erst anfangen zu lernen.

Lesen: http://www.root-und-kein-plan.ath.cx/

Mögliche Folgen:
http://www.serverzeit.de/FreeBSD/admins-haften/
Torrentflux und benötigte Zusatzpakete per Konsole installie

In jedem Fall solltest du dich umgehend mit den Linux-Grundlagen beschäftigen, denn ein Server ist weder Spielzeug noch Lernobjekt.

Lesen:
Linux - Wegweiser zur Installation & Konfiguration
SelfLinux
LinuxFibel
http://www.bin-bash.de
suschi hat geschrieben:

Code: Alles auswählen

Jul 24 23:26:13 h1238183 sshd[12255]: Invalid user index from 125.206.111.147 
Jul 24 23:26:13 hxxxxxx sshd[12255]: reverse mapping checking getaddrinfo for fsc-netcom.biz failed - POSSIBLE BREAKIN ATTEMPT!
Was bedeutet das ? Bekomme ich immer den Versuch das jemand auf dem SSH Port versucht reinzukommen ?
Genau das bedeutet es.
Ist allerdings (leider) ganz normales Hintergrundrauschen im Netz.
Wer seinen sshd anständig konfiguriert hat braucht sich i.d.R. deshalb keine Sorgen machen ... 8)


PS: Einfach mal ein paar Tage offline sein, ist eine ganz blöde Idee als Serveradmin ... denn: Wer kümmert sich in der Zwischenzeit um den Server?
Gruß b3ll3roph0n
--
Denken hilft!

Ich beantworte keine Support-Anfragen per PN.
Für alle meine Beiträge gelten, außer bei Zitaten, die Creative Commons.

pft
Advanced Hacker
Advanced Hacker
Beiträge: 843
Registriert: 22. Dez 2004, 13:01

Beitrag von pft » 16. Aug 2007, 10:29

Die Kürzel die ich meinte waren z.B.
74.6.25.119 - - [18/Jul/2007:22:01:57 +0200] "GET /viewtopic.php?t=8&highlight
Das dürfte ein log-Eintrag des squid sein, oder so was ähnliches ? wäre vielleicht hilfreich wenn Du etwas mehr Angaben machen könntest. "GET" ist ein ganz normaler http befehl den dein Browser abschickt, wenn Du z.B. hier im Forum auf einen Eintag klickst. (Schau Dir mal die URLs an dann kommt dir vielleicht etwas bekannt vor.
Der Rest sagt Dir wann das war und an welche IP Adresse der anfordernde Client hat.
Und was bedeutet : grep im Logfile ?
Meinst Du die Frage ernst? grep ist ein Unix kommando. Wenn DU das nicht kennst frage ich mich ernsthaft ob Du nicht erst eine ganze Menge anderer Dinge lesen sooltest bevor Du solche Fragen stellst. Nicht das es verboten wäre, aber du wirst die Antworten nicht verstehen. Ds gleich gilt, wenn Du nicht auf der Kommandozeile arbeiten willst oder kannst. Es mag Voolgafische Tools dafür geben - ich kenne keines und halte auch nichts davon.
Aber weil gestern Feiertag war:
grep sucht in ascii dateien nach Mustern. Willst Du also wissen welche IP nummern in deneim Netz angefordert wurden Gibst Du ein "

Code: Alles auswählen

grep dhcpd /var/log/messages
"; ebenso

Code: Alles auswählen

grep login /var/log/messages
Das mit dem Mailserver : Ich benutze qmail. Wo kann ich denn ersehen im Log wie der Versand und Empfang der Mail geloggt wird.???
Ich verwende qmail nicht. Aber schau doch mal in /var/log/mail oder var/log/messages. Evtl. mit "grep qmail ..." :)
Bzw. sieh dch in /var/log um ob es ein spezielles logfile für qmail gibt
Sagt der Porsche bei 250 km/h zu seinem Fahrer: "Ich kann noch mehr - Du auch?"
... Ich hab zwar keinen Porsche aber dafür Linux

suschi
Newbie
Newbie
Beiträge: 15
Registriert: 8. Aug 2007, 19:55

Beitrag von suschi » 16. Aug 2007, 10:42

hey pft,

ja ich denke es wäre besser den vserver abzugeben in Händen die sich besser damit auskennen :oops: :oops: :oops:

Ich gehöre wohl auch zu denen die meinen einen Server zu brauchen weil man etwas mit der Konsol umgehen kann und dann doch scheitern.
Klar ist es gut Admin Rechte zu haben aber dann sollte man sich besser drum kümmern können.

Zudem fehlt mir immer mehr die Zeit mich intensiver um den Server zu kümmern obwohl ich in den Hinsicht mehr wie wissensdurstig bin. Nur so gehts net mehr.... :oops:

Eine abschließende Frage an euch ohne jetzt Werbung machen zu wollen :
Welcher Hoster ist okay von Service etc. für einen solchen Fall wie mich ?
Also einen Server der vom Hoster gewartet wird ?

Danke nochmal an alle die hier gepostet haben.

Gruß
suschi

Antworten