Wenn Sie am Rechner arbeiten, auf dem Tablet surfen oder eine Website auf einem Server betreiben, finden zahl­rei­che Prozesse unbemerkt im Hin­ter­grund statt. Kommt es zu Problemen, treten Fehler auf oder wollen Sie nach­voll­zie­hen, welche Aktionen das Be­triebs­sys­tem oder die ver­schie­de­nen Pro­gram­men und Dienste ausführen, können Ihnen die so­ge­nann­ten Log-Dateien Auskunft geben. Sie werden von nahezu allen An­wen­dun­gen, Servern, Da­ten­ban­ken und Systemen au­to­ma­tisch geführt und pro­to­kol­lie­ren alle re­le­van­ten Prozesse.

Generell werden Logfiles nur sehr selten aus­ge­wer­tet – sie erfüllen eine ähnliche Funktion wie ein Flug­schrei­ber, der nur in dring­li­chen Fällen in­spi­ziert wird. Aufgrund der de­tail­lier­ten Da­ten­er­fas­sung sind Log-Dateien al­ler­dings auch eine erst­klas­si­ge Quelle für um­fas­sen­de Un­ter­su­chun­gen von Programm- und Sys­tem­feh­lern sowie zur Erfassung des Nut­zer­ver­hal­tens. Das macht sie nicht nur für Software-Her­stel­ler, sondern auch für Website-Betreiber in­ter­es­sant, die aus der Log-Datei ihres Web­ser­vers in­ter­es­san­te In­for­ma­tio­nen beziehen können.

Was ist ein Logfile?

Bei Logfiles, die man auch als Er­eig­nis­pro­to­koll­da­tei­en be­zeich­net, handelt es sich um ge­wöhn­li­che Text­da­tei­en. In ihnen sind alle Prozesse fest­ge­hal­ten, die vom Pro­gram­mie­rer der je­wei­li­gen Anwendung als relevant definiert worden sind. Im Falle der Log-Datei einer Datenbank sind das bei­spiels­wei­se alle Än­de­run­gen von korrekt ab­ge­schlos­se­nen Trans­ak­tio­nen. Werden Teile der Datenbank gelöscht, z. B. im Falle eines Sys­tem­ab­stur­zes, dient das Logfile als Basis für die Wie­der­her­stel­lung des korrekten Da­ten­be­stands.

Log-Dateien werden gemäß der je­wei­li­gen Pro­gram­mie­rung au­to­ma­tisch erzeugt; es ist aber auch möglich, eigene Pro­to­koll­da­tei­en zu erstellen – sofern das not­wen­di­ge Know-how vorhanden ist. Generell enthält eine Zeile eines Logfiles die beiden folgenden Angaben:

  • Erfasstes Ereignis (z. B. ein Pro­gramm­start)
  • Zeit­stem­pel, der dem Ereignis Datum und Uhrzeit zuordnet

Ty­pi­scher­wei­se wird die Zeit­an­ga­be vor­an­ge­stellt, um die chro­no­lo­gi­sche Abfolge der Er­eig­nis­se wie­der­zu­ge­ben.

Typische An­wen­dungs­ge­bie­te von Log-Dateien

Be­triebs­sys­te­me erstellen stan­dard­mä­ßig mehrere Pro­to­koll­da­tei­en, in denen die ver­schie­de­nen Pro­zess­ty­pen ka­te­go­ri­siert fest­ge­hal­ten werden. Windows-Systeme führen bei­spiels­wei­se Pro­to­kol­le über An­wen­dungs­er­eig­nis­se, Sys­tem­er­eig­nis­se, si­cher­heits­be­zo­ge­ne Er­eig­nis­se, Set-up-Er­eig­nis­se und wei­ter­ge­lei­te­te Er­eig­nis­se. Ad­mi­nis­tra­to­ren erhalten durch einen Blick in die ent­spre­chen­de Log-Datei In­for­ma­tio­nen, die ihnen bei der Feh­ler­be­he­bung wei­ter­hel­fen können. Außerdem zeigen die Windows-Logfiles, welcher Nutzer sich wann auf dem System an- bzw. ab­ge­mel­det hat. Neben dem Be­triebs­sys­tem sind es die folgenden Programme und Systeme, die ih­rer­seits ganz un­ter­schied­li­che Daten sammeln:

  • Hin­ter­grund­pro­gram­me wie z. B. Mail-, Datenbank- oder Pro­xy­ser­ver erzeugen Log-Dateien, die in erster Linie Feh­ler­mel­dun­gen, Er­eig­nis­mel­dun­gen und Hinweise auf­zeich­nen. Hin­ter­grund sind vor allem die Sicherung und eine mögliche Wie­der­her­stel­lung der Daten.
  • In­stal­lier­te Software wie Office-Programme, Spiele, Instant Messenger, Firewalls oder Vi­ren­scan­ner speichern ganz un­ter­schied­li­che Daten im Logfile. Dabei kann es sich bei­spiels­wei­se um Kon­fi­gu­ra­tio­nen oder Chat-Nach­rich­ten handeln. Vor allem aber steht auch hier die Sammlung von Pro­gramm­ab­stür­zen zugunsten einer raschen Feh­ler­be­hand­lung im Vor­der­grund.
  • Server (ins­be­son­de­re Webserver) pro­to­kol­lie­ren relevante Netz­werk­ak­ti­vi­tä­ten, die nützliche In­for­ma­tio­nen über die User und deren Verhalten im Netzwerk be­inhal­ten. Unter anderem erfahren be­rech­tig­te Ad­mi­nis­tra­to­ren, welcher Nutzer zu welchem Zeitpunkt eine Anwendung gestartet oder eine Datei an­ge­for­dert hat, wie lange er die jeweilige Aktivität in Anspruch genommen hat und welches Be­triebs­sys­tem dazu verwendet wurde. Die Webserver-Logfile-Analyse ist eine der ältesten Methoden des Web-Con­trol­lings und das beste Beispiel für die Mög­lich­kei­ten von Log-Dateien.

Das Mus­ter­bei­spiel für das Log-Dateien-Potenzial: Webserver-Logfiles

Ur­sprüng­lich diente die Pro­to­koll­da­tei von Web­ser­vern wie Apache oder Microsoft IIS der stan­dard­mä­ßi­gen Auf­zeich­nung und Behebung von Fehlern im Pro­zess­ab­lauf. Schnell entdeckte man al­ler­dings, dass das Webserver-Logfile noch viel wert­vol­le­re Daten liefern kann – etwa In­for­ma­tio­nen über die Be­liebt­heit und Usability der auf dem Server ge­hos­te­ten Website inklusive nütz­li­cher Angaben über die Besucher wie zum Beispiel:

  • Zeitpunkt der Sei­ten­auf­ru­fe
  • Anzahl der Sei­ten­auf­ru­fe
  • Dauer der Sitzung
  • IP-Adresse und Hostname der Nutzer
  • In­for­ma­tio­nen über den an­fra­gen­den Client (in der Regel Browser)
  • genutzte Such­ma­schi­ne inklusive Such­an­fra­ge
  • ver­wen­de­tes Be­triebs­sys­tem

Ein typischer Eintrag einer Webserver-Log-Datei sieht so aus:

183.121.143.32 - - [18/Mar/2003:08:04:22 +0200] "GET /images/logo.jpg HTTP/1.1" 200 512 "http://www.wikipedia.org/" "Mozilla/5.0 (X11; U; Linux i686; de-DE;rv:1.7.5)"

Die einzelnen Parameter erläutert:

Bedeutung Bei­spiel­wert Er­läu­te­rung
IP-Adresse 183.121.143.32 Die IP-Adresse des an­for­dern­den Hosts
Unbelegt - Stan­dard­mä­ßig nicht er­mit­tel­te RFC-1413-Identität
Wer? - Verrät den Nut­zer­na­men, sofern eine HTTP-Au­then­ti­fi­zie­rung statt­ge­fun­den hat; bleibt ansonsten wie in diesem Fall frei
Wann? [18/Mar/2003:08:04:22 +0200] Zeit­stem­pel, bestehend aus Datum, Uhrzeit und Zeit­ver­schie­bungs­an­ga­be
Was? GET /images/logo.jpg HTTP/1.1 Das statt­ge­fun­de­ne Ereignis, in diesem Fall die An­for­de­rung eines Bildes via HTTP
Ok 200 Be­stä­ti­gung der er­folg­rei­chen Anfrage (HTTP-Sta­tus­code 200)
Wie viel? 512 Falls gegeben: Menge der über­tra­ge­nen Daten in Byte
Woher? http://www.wikipedia.org/ Web­adres­se, von der die Daten an­ge­for­dert werden
Womit? Mozilla/5.0 (X11; U; Linux i686; de-DE;rv:1.7.5) Tech­ni­sche Angaben zum Client: Browser, Be­triebs­sys­tem, Kernel, User-Interface, Sprach­aus­ga­be, Version

Um die Flut an In­for­ma­tio­nen aus­zu­wer­ten, wurden Tools wie Webalizer oder W3 Sta­tis­tics ent­wi­ckelt, die die erhobenen Daten in aus­sa­ge­kräf­ti­ge Sta­tis­ti­ken, Tabellen und Grafiken umwandeln. Aus diesen lassen sich bei­spiels­wei­se Tendenzen über das Wachstum der Website, die Be­nut­zer­freund­lich­keit der einzelnen Seiten oder relevante Keywords und Themen ableiten.

Auch wenn die Webserver-Logfile-Analyse weiterhin prak­ti­ziert wird, wurde sie doch zum Großteil von neueren Methoden der Web­ana­ly­se wie Cookies oder Page-Tagging abgelöst. Die Ursachen dafür liegen zum einen in der hohen Feh­ler­an­fäl­lig­keit der Pro­to­koll­da­tei-Analyse bei der Zuordnung von Sitzungen, zum anderen in der Tatsache, dass Betreiber einer Website oftmals gar nicht auf die Log-Datei des Web­ser­vers zugreifen können. Dafür werden alle Feh­ler­mel­dun­gen un­mit­tel­bar re­gis­triert. Außerdem bleiben die Daten, die aus einer Logfile-Analyse gewonnen werden, direkt beim Un­ter­neh­men.

Zum Hauptmenü