Logs auswerten: journald, syslog, logrotate
Logs sind das Gedächtnis eines Linux-Systems. Wenn ein Dienst abstürzt, ein Login fehlschlägt, ein Festplattenfehler auftritt – alles landet in den Logs. Als Systemadministrator wirst du Logs täglich auswerten: beim Troubleshooting, bei der Sicherheitsanalyse und bei der Überwachung. Das Lesen und Filtern von Logs ist eine der wichtigsten Grundfertigkeiten.
Moderne Linux-Systeme haben zwei parallele Logging-Systeme: das traditionelle syslog/rsyslog das Text-Dateien in /var/log/ schreibt, und das neuere systemd-journald das Logs binär speichert und mit journalctl abgefragt wird. Auf den meisten Systemen laufen beide parallel.
1) journalctl – Logs aus dem systemd Journal
# Logs eines bestimmten Dienstes $ journalctl -u nginx $ journalctl -u nginx -u sshd # Mehrere Dienste
# Live-Logs (wie tail -f) $ journalctl -u nginx -f
# Nur Fehler und schlimmer (Priorität: emerg, alert, crit, err) $ journalctl -p err $ journalctl -p warning..err
# Zeitraum eingrenzen $ journalctl --since "2026-05-16 08:00" --until "2026-05-16 12:00" $ journalctl --since "1 hour ago"
# Letzten Systemstart $ journalctl -b # Aktueller Boot $ journalctl -b -1 # Letzter Boot $ journalctl --list-boots # Alle gespeicherten Boots
# Speichernutzung des Journals $ journalctl --disk-usage Archived and active journals take up 896.0M in the file system.
# Journal aufräumen (älter als 7 Tage) $ sudo journalctl --vacuum-time=7d
sudo mkdir -p /var/log/journal && sudo systemctl restart systemd-journald. Dann werden Logs in /var/log/journal/ gespeichert und bleiben nach Reboots erhalten.2) /var/log – wichtige Logdateien
Auch wenn journald immer wichtiger wird, schreiben viele Dienste noch direkt Textlogs nach /var/log/. Diese kannst du mit den Standard-Texttools (grep, tail, awk) auswerten:
| Datei | Inhalt | Wichtig für |
|---|---|---|
/var/log/syslog (Debian) //var/log/messages (RHEL) | Allgemeine Systemmeldungen | Troubleshooting Kernel, Dienste |
/var/log/auth.log (Debian) //var/log/secure (RHEL) | Logins, sudo, SSH, Authentifizierung | Sicherheitsanalyse, Einbruchversuche |
/var/log/kern.log | Kernel-Meldungen | Hardware-Fehler, Treiberprobleme |
/var/log/dpkg.log | apt-Installationen und Updates (Debian) | Was wurde wann installiert? |
/var/log/nginx/access.log | HTTP-Anfragen an nginx | Webtraffic, Fehler 404/500 |
/var/log/nginx/error.log | nginx-Fehler | Konfigurationsfehler, Dienst-Probleme |
3) Typische Log-Analyse – Praxisbeispiele
# Erfolgreiche sudo-Nutzung anzeigen $ grep "sudo:" /var/log/auth.log | grep "COMMAND" May 16 10:30:01 server sudo: mueller : TTY=pts/0 ; PWD=/home/mueller ; USER=root ; COMMAND=/usr/bin/apt upgrade
# nginx: HTTP 5xx-Fehler der letzten Stunde $ awk '$9 ~ /^5/' /var/log/nginx/access.log | tail -20
# Alle Fehler seit letztem Reboot (journald) $ journalctl -b -p err --no-pager
# Wann hat nginx zuletzt neu gestartet? $ journalctl -u nginx | grep "started A high performance"
sudo apt install fail2ban.4) logrotate – Log-Dateien verwalten
logrotate verhindert dass Log-Dateien unbegrenzt wachsen und die Festplatte füllen. Es rotiert Logs täglich/wöchentlich, komprimiert alte Dateien und löscht zu alte. Die Konfiguration liegt in /etc/logrotate.conf und in einzelnen Dateien in /etc/logrotate.d/:
# logrotate manuell testen (--debug = keine echten Änderungen) $ sudo logrotate --debug /etc/logrotate.d/nginx
Zusammenfassung
journalctl -u dienst = Logs eines Dienstes. -f = Live-Logs. -p err = nur Fehler. --since/-b = Zeitraum. /var/log/auth.log = Login/SSH-Logs. /var/log/syslog = allgemein. grep + awk + sort für Analyse. logrotate: tägliche Rotation, Komprimierung, Aufbewahrungsdauer. Fail2ban automatisch IPs sperren bei Brute-Force.