Logs lesen lernen für Anfänger Teil 1: App/Kernelmeldungen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Logs lesen lernen für Anfänger Teil 1: App/Kernelmeldungen

Beitrag von Junioruser1976 »

Hallo,

ich habe in den Logs zum ersten Mal die App/Kernelmeldungen zur Fehlerdiagnose mit benutzt und bin interessiert, das systematische strukturierte Loglesen noch besser zu lernen:

Soweit habe ich jetzt einfach durch Anschauen rausgekriegt und würde mich freuen, Rückmeldung zu bekommen, ob ich das richtig lese:

Webfilter
er lässt grad Ausnahme zu = "grün allowed"
und "rot blocked" wenn er was sperrt.

Bei den HTTP Meldungen :
Ein Eintrag 192.168.2.4 [img=0x12]https://192.168.100.1:11115/images/icons/forward.png[/img] 52.22.138.109:443Username= ist, wenn danach kein Error kommt, heißt: das läuft und ein Eintrag wie Error negotiating SSL connection on FD 14: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca (1/0) heißt, es läuft nicht- hier z.B. SSL Interzeption schmeißt den Traffic raus- ist das schonmal so richtig verstanden?

Meldungen für die Dienste "freshclam" und "Crond"- gehören die zum Virenscanner beide? 

Ist das soweit schonmal richtig verstanden?

Und:
Wie gehe ich zur Klärung einer mir noch unbekannten Fehlermeldung am besten vor:

Beispiel:
192.168.2.3 [img=0x12]https://192.168.100.1:11115/images/icons/forward.png[/img] sls.update.microsoft.com:443Username=-
WARNING: HTTP_STATUS_REDIR ACL is used in context without an HTTP response. Assuming mismatch.
Error negotiating SSL on FD 41: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0)
Update läuft eigentlich grad sauber durch, irgendwas aber anscheinend doch nicht lt. logs- wie kriege ich dazu noch mehr raus? Fragt man das den Support? Googelt man das? Was ist die richtige Routine? Oder gibt es einfach auch wie in Windows Ereignisanzeige die ein oder andere Meldung, die man besser einfach ignoriert, wenn ansonsten alles  läuft?

Wonach sollten ggf. als Routine regelmäßig die Logs geprüft werden? Gibt es hierzu Empfehlungen?

Und was hätte gern Securepoint im Support in welcher Form von den Logs, wenn ich das mal im  Mailsupport melde- wäre es ok, den aktuellen Log downzuloaden und die Datei in den Anhang der Mail zu packen?

Viele Grüße und einen schönen Abend

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

persönliche Empfehlung: Log öffnen, oben Links auf das Zanhrad und dann Text hervorheben ausmachen. 
Dann siehtst du alle Logs als text ohne Farben etc und dir wird auffallen dass du auch mehr Informationen siehst.

-> Die Logs vom Webfilter sind relativ einfach und eindeutig.

Wenn man sich hingegen mal die logs om Http_Proxy (squid) anschaut Hilft diese Seite:
https://wiki.squid-cache.org/SquidFaq/SquidLogs 

Neben der URL, dem Benutzer schreib der Squid auch interne Statuscodes und den HTTP Statuscode in die Logs (Zb: TCP 200/MISS = Protokoll TCP, HTTP 200 ok /   SquidCode)
Fehler wie Error Negotiating ..... kommen von der SSL Interception und können Gefühlt alles bedeuten, da hilft aber auch die Wiki Seite des Squids weiter (oder der  Support).

Hinter freshclam Versteckt sich der Updater vom ClamAV - Crond ist der Deamon für die Cronjobs. (Update der Virenscanner, Spamreport, Update des OpenVPN Client und Update der Firewall)
Also im Prinzip jede Aufgabe die periodisch ausgeführt werden soll.

Bezüglich wann Logs Prüfen: Immer dann wenn sich das System "komisch" Verhält oder es Fehlverhalten gibt. Ansonsten schaue ich da nie rein.

Der Support nimmt gerne Logs als Text Form - Wenn du nett bist, schickst du aber nur den Teil des Logs wo du meinst das er zum Problem gehört.

Gruß 

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Perfekt, ganz lieben Dank für die umgehenden ausführlichen Antworten - Logs ohne Farbe hab ich gleich mal probiert- Danke für die TIpps:-)

Viele Grüße und einen schönen Abend

Antworten