Server, Computer und Geräte protokollieren alle wichtigen oder informativen Ereignisse in unterschiedliche Logfiles. Doch spätestens, wenn es um die Fehlersuche geht, ist der Administrator darauf angewiesen, alle Ereignismeldungen von Anwendungsprogrammen und Betriebssystemen in der Gesamtheit zu betrachten, um sich ein konkretes Bild von einem Vorfall zu machen.
Infrastrukturgeräte wie Router oder Switche nutzen für gewöhnlich Syslog-Meldungen, die sie an einen zentralen Log-File-Server übermitteln. Windows nutzt die Ereignisanzeige, Linux und Unix nutzen ihre eigenen Logfiles. Aber auch Anwendungen wie Cups, Samba, IIS oder der Apache-Webserver protokollieren stets in ihren eigenen Formaten und an den für sie üblichen Orten. Das Hauptproblem besteht für den Administrator nun darin, die vielen Ereignisnachrichten zusammenzufassen, da jede Software und jedes Betriebssystem nach eigenen Regeln vorgeht.
Wer ein Logfile-Analyse-Werkzeug wie beispielsweise Splunk nutzt, wird sich zunächst damit befassen, diese Speicherorte direkt zu identifizieren und Logfiles dem Analyse-Programm bekannt zu machen. Das mag bei einigen wenigen Servern oder
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.