Erweiterte Systemüberwachung mit rsyslog
Linux ist die reinste Plaudertasche – was die Systemdienste und der Kernel so melden, landet, oft recht unübersichtlich, in Log-Dateien. Der Dienst rsyslog erleichtert es dem Admin, relevante Informationen in den Systemprotokollen zu finden.
- Andrea Müller
Auf einem Linux-System geschieht mehr, als der Nutzer auf dem Desktop sieht: Dienste starten, der Kernel erkennt neue Hardware, andere Nutzer melden sich per SSH an und Cron-Jobs erledigen wichtige Aufgaben wie Backups oder das Aktualisieren der updatedb. Solange das System rund läuft, ist man zufrieden, davon nichts mitzubekommen, aber spätestens wenn es einmal hakt, freut man sich über die Linux-typische Geschwätzigkeit. Kernel und Dienste führen penibel Buch über jedes Ereignis und vermerken es in den Log-Dateien des Systems, die im Verzeichnis /var/log und seinen Unterverzeichnissen liegen. Viele Linux-Distributionen sind von Haus aus so eingerichtet, dass sie den Dienst syslogd zum Erfassen der Protokollinformationen installieren. Diese Implementierung des Syslog-Protokolls ist sehr verbreitet, wird aber spätestens dann unübersichtlich, wenn man auf einem Server Dienste anbietet und gigantische Mengen an Protokollinformationen anfallen.
Sich per grep & Co. die relevanten Einträge herauszufischen, kostet nicht nur Zeit, sondern auch Nerven. Ein Ausweg aus dem Dilemma ist der Log-Daemon rsyslog, der 2004 unter der Federführung von Rainer Gerhards entstand und in Konkurrenz mit syslog-ng treten sollte, einem weiteren Log-Dienst, der mehr Funktionen als der klassische syslogd bietet. rsyslog hat seinem älteren Verwandten einiges voraus: Er lässt sich flexibler konfigurieren, beherrscht diverse Filterfunktionen, kann die Systemprotokolle per TCP an andere Rechner übermitteln und lässt sich leicht mit den beiden Datenbanken MySQL und PostgreSQL verbinden. Filterfunktionen und Datenbankanbindung helfen dabei, wichtige Einträge schneller zu finden. Und wer sich nicht mit SQL-Syntax anfreunden mag, greift stattdessen zum Helferlein PHPLogCon, mit dem man die in eine Datenbank eingespeisten Log-Dateien bequem via Web-Browser sichtet. Komplett umstellen müssen sich Admins beim Umstieg nicht, denn rsyslog kennt in seiner Konfigurationsdatei dieselben Optionen wie syslog und packt nur noch einige neue dazu.
