Sergey Nivens - Fotolia
Der richtige Umgang mit Log-Dateien von Anwendungen
Protokolldateien sind ja von eher dröger technischer Natur. Die Inhalte aber richtig einzuordnen, erfordert neben Erfahrung auch Kreativität, um die notwendigen Schlüsse zu ziehen.
Sowohl Betriebssysteme als auch Anwendungen erzeugen eine Vielzahl von Protokolldateien. So viele, dass es alles andere als leicht ist, den Überblick zu behalten. Und Log-Dateien verraten ja keineswegs immer im Klartext, worum es bei den gespeicherten Informationen tatsächlich geht. So erfährt der Administrator durch die Fehlermeldung einer Anwendung zwar, dass etwas nicht in Ordnung ist, aber mehr häufig auch nicht. Eine derart vage Angabe ist als Unterstützung bei der Fehlerbehebung häufig ein Albtraum. Und jede einzelne Anwendung erzeugt die eigenen, spezifischen Protokolldateien. Derjenige, der sich darum kümmern muss, dass Problem zu lösen, steht nun vor der Herausforderung sich aus allen vorliegenden Informationen ein Gesamtbild zu verschaffen.
Protokolldateien richtig lesen und verstehen
Ein grundsätzliches Problem bei Umgang mit Protokolldateien ist die Annahme, dass jeder Fehler und jede Warnung einem Katastrophenstatus entsprechen, die das System zum Absturz bringt. Logfiles enthalten oft eine Kombination aus Statusinformationen, allgemeinen Angaben und Meldungen zu Problemen. Und auch letztere müssen nicht unbedingt bedeuten, dass die Anwendung an sich nicht mehr funktioniert. Moderne Programme bestehen aus einer Vielzahl von Modulen und Unterprogrammen, bei denen Probleme auftauchen können und auch werden.
Die meisten Anwendungen sind durchaus in der Lage, ausgefallene Elemente und Module neu zu starten, ohne dass der Endanwender davon etwas mitbekommt. Derlei Selbstheilungskräfte sorgen dafür, dass Anwendungen an sich lauffähig sind. Administratoren müssen allerdings in der Lage sein, zu erkennen, ob ein solches aufgezeichnetes Ereignis einfach nur so wieder behoben wurde, oder ob dies unter Umständen ein Hinweis auf ein größeres Problem ist. Hier liefern Trendauswertungen und der Blick auf zurückliegende Ereignisse zusätzliche Informationen.
Während das Ereignis oder der Absturz akut auftritt, liefern die Protokolldateien der Anwendungen oft Hinweise auf kommende Probleme. Leistungstrends und mit roter Flagge gekennzeichnete Warnmeldungen sind die typischen Frühwarnsignale auf ein größeres Problem, das bevorsteht. Die Kunst wie die Herausforderung besteht darin, dass Verhältnis zwischen dem relativ kleinen Vorkommnis und dem nahenden großen Problem richtig zu erkennen.
Tools zur Protokollanalyse einsetzen
Der Administrator benötigt Erfahrung, um aufgrund der vorliegenden Informationen Ausfallzeiten von Anwendungen rechtzeitig vorbeugen zu können. Hilfreich für IT-Abteilungen sind da Werkzeuge wie Loggly oder Splunk, die mit Hilfe von maschinellem Lernen dabei unterstützen, die gesamte Lernkurve zu verkürzen.
Diese Tools betrachten alle vorliegenden Informationen und nutzen maschinelle Lernfunktionen, um Trends abzuleiten und anstehende Probleme vorherzusagen. Diese Werkzeuge funktionieren am Besten mit der richtigen Einbeziehung des menschlichen Faktors. Aber sie liefern in jedem Fall einen zusammenhängenden Überblick über den Status und die Aktivitäten der Anwendungsumgebung. Dies gelingt, da sich die Tools schnell auf bestimmte Muster festlegen können.
Logging-Tools und die notwendige Software werden häufig auch als Cloud-Dienst und im Abo-Modell bezogen. Bei der Analyse großer Datenmengen mit Hilfe von maschinellem Lernen sind für genaue und zeitnahe Ergebnisse einiges an Ressourcen erforderlich. Wenn das eigene Unternehmen nicht plant, die Protokollanalyse rund um die Uhr durchzuführen, sind diese Aufgaben eine eher nicht ideale Nutzung der eigenen Ressourcen und kann außerhalb der eigenen Umgebung erledigt werden.
Das wiederum führt zur nächsten Frage: Wie oft sollte ein Unternehmen die Protokolldateien analysieren? Das hängt natürlich immer ein wenig von der eigenen Organisation ab. Dabei gilt es den idealen Mittelweg zwischen Aufwand, Ressourcen und dem Faktor Zeit zu finden. Eine kontinuierliche Überwachung und Analyse erfordern nicht unerhebliche Ressourcen. Wird zu lange gewartet und ein Trend hinsichtlich eines Problems zu spät erkannt, können die Folgen ebenfalls verheerend sein. Quartals- oder Jahresberichte liefern vermutlich zu wenig Daten, die wöchentliche Analyse kann für viele aber auch bereits zu aufwendig sein. Hier gilt es den für die eigene Umgebung geeigneten Kompromiss zwischen Reaktionsfähigkeit und Kosten zu finden.
Die Überwachung der Protokolldaten ist nicht dasselbe wie das Monitoring von IT-Geräten oder etwa dem Nutzungserlebnis. Administratoren müssen da möglichst viele Daten sammeln, aber die tägliche Erfassung bei den Protokollen führt nicht zwangsläufig zu einer besseren Aggregation und Analyse. Die Daten müssen relevant sein, aber es müssen auch nicht exzessiv Daten gesammelt werden, damit die Kosten und Ressourcennutzung angemessen bleiben.
Log-Dateien und Protokolle sind wertvolle Informationen, um das Verhalten von Anwendungen im Hinblick auf Ausfälle oder auch Leistungsprobleme richtig einordnen zu können. Sie unterstützen IT-Abteilungen ganz wesentlich dabei die Infrastruktur am Laufen zu halten.
