Linux-Tail-Befehl

Der Linux-Tail-Befehl gehört zu den essenziellen Werkzeugen auf der Kommandozeile. In erster Linie dient der Befehl dazu, das Ende einer (Text)-Datei auszugeben, bzw. die Ausgabe eines Linux-Befehls auf einen gegebenen Umfang zu beschränken. Damit steht der Linux-Tail-Befehl in einer Reihe mit dem Linux-Head-Befehl und den Befehlen 'cat' und 'less'. Die genannten Linux-Befehle werden allesamt eingesetzt, um die Inhalte von Textdateien auszugeben.

Der Linux-Tail-Befehl ist Teil der GNU Core Utilities (Coreutils). Es handelt sich dabei um eine Sammlung grundlegender Befehle für die Kommandozeile, welche im Open Source Betriebssystem Linux enthalten sind. Die Coreutils sind unter einer Open Source Lizenz veröffentlicht und stehen für eine Vielzahl unterschiedlicher Betriebssysteme zum Download bereit.

Die Grundlegende Funktionalität des Linux-Tail-Befehls besteht darin, das Ende einer Datei auszugeben. Dazu sollten Sie wissen, dass Daten, die in eine Datei geschrieben werden, am Ende der Datei landen. Der Linux-Tail-Befehl erlaubt uns also, zu überprüfen, ob einer Datei neue Daten angehängt wurden. Daher ist der Linux-Tail-Befehl beliebt, um Logdateien auszuwerten und zu überwachen.

Viele Programme, insbesondere Webserver wie Apache oder nginx schreiben Status-Informationen in sogenannte Logdateien. Im Falle von Server-Logs enhalten die Dateien pro Zeile u. A. einen Zeitstempel, die URL der abgefragten Resource und die IP-Adresse der anfragenden Partei.

Die Logdateien wachsen mit jeder einzelnen Anfrage und werden dabei immer größer. Um die Größe ab einem bestimmten Punkt zu begrenzen, werden Logdatien für gewöhnlich „rotiert“. Die Logdatei wird dabei komprimiert und unter einem neuen Namen archiviert. Ferner wird eine neue, leere Logdatei unter dem ursrpünglichen Namen angelegt. Hier eine Übersicht gebräuchlicher Logdateien unter Ubuntu-Linux:

Der Aufruf des Linux-Tail-Befehls erfolgt auf der Kommandozeile. Wie üblich wird der Name des Befehls gefolgt von optionalen Parametern eingegeben. Abgeschlossen wird der Aufruf vom Namen bzw. Pfad einer oder mehrerer Dateien. Schauen wir uns zunächst die Schreibweise des generellen Falls an:

Ohne Optionen ergibt sich als simpelster Aufruf des Linux-Tail-Befehls das folgende Muster:

So aufgerufen, gibt der Linux-Tail-Befehl die letzten zehn Zeilen der angegebenen Datei aus. Dies ist nützlich, um die zuletzt in die Datei geschriebenen Daten anzusehen.

Der Linux-Tail-Befehl lässt sich über Parameter steuern. Als Teil der GNU Coreutils gibt es für jede Option eine Langform. Für die am häufigsten genutzten Optionen gibt es ferner eine oft historisch bedingte Kurzform. Wir zeigen hier eine Übersicht der nützlichsten Optionen:

Die bereits gezeigten grundlegenden Optionen des Linux-Tail-Befehls sind in ihrer Funktionsweise analog zu denen des Head-Befehls. Während der Head-Befehl jedoch den Anfang einer Datei ausgibt, liefert der Linux-Tail-Befehl das Ende einer Datei. Der Befehl kann aber noch einiges mehr.

Insbesondere bietet der Linux-Tail-Befehl eine Vielzahl von Optionen, um Dateien auf Änderungen zu überwachen. Mit dem Linux-Tail-Befehl lassen sich am Ende der Datei hinzugekommen Daten kontinuierlich ausgeben. Daher ist das Kommando besonders geeignet, um Logdateien zu überwachen. Dieser Prozess ist auch als „Live-Tail“ bekannt. Hier eine Übersicht der dabei am häufigsten zum Einsatz kommenden Optionen:

In der Dokumentation der Coreutils ist der Linux-Tail-Befehl im Abschnitt „Output of parts of files“ („Teile von Dateien ausgeben“) aufgeführt. Dabei sollten Sie wissen, dass der Begriff „Dateien“ hierbei weit gefasst ist. Präziser ist der Begriff „Textströme”.

Der Unix-Philosophie folgend nutzen Kommandozeilen-Befehle Textströme als universelles Ein- und Ausgabeformat. Bei Textströmen handelt es sich insbesondere um Dateien, jedoch auch um die Standardeingabe und -ausgabe der Kommandozeile. Ferner sind die sogenannten „Pipes”, zu Deutsch in etwa „Rohrleitungen”, von großer Wichtigkeit. Diese erlauben das Verketten mehrerer Befehle. Dabei wird die Ausgabe eines Befehls als Eingabe an den nächsten Befehl weitergereicht.

Die zugrundeliegende Idee, mehrere Befehle miteinander zu verketten, geht wiederum auf die Unix-Philosophie zurück. Anstatt komplexe Befehle für gänzlich verschiedene Aufgaben zu entwickeln, gibt es eine relativ überschaubare Menge genereller Befehle. Der Maxim „do one thing, and do it well“ („mach nur eine Sache, aber mache sie gut“) folgend, verfügt ein jeder Befehl über eine eng umrissene Funktionalität. Die Befehle nutzen Textströme als universelle Schnittstelle und lassen sich zu immer wieder neuen Lösungsansätzen kombinieren.

Die nachfolgenden generellen Beispiele greifen auf die eingangs dargestellten grundlegenden Optionen des Linux-Tail-Befehls zurück. Für Beispiele, welche die weiterführenden Optionen nutzen, lesen Sie den Abschnitt über die Überwachung von Logdateien weiter unten.

Die meisten dargestellten Beispiele kombinieren den Linux-Tail-Befehl mit einem oder mehreren weiteren Linux-Befehlen. Dabei kommen die erwähnten Pipes zum Einsatz, um die Ausgabe eines Befehls als Eingabe des nächsten Befehls zu nutzen.

Im einfachsten Falle nutzen wir den Linux-Tail-Befehl, um die letzten Zeilen einer Datei auszugeben. Um dies auszuprobieren, ersetzen Sie den Platzhalter '<datei>' durch den Namen bzw. Pfad einer auf Ihrem System existierenden Textdatei. Hier nutzen wir die -n-Option und geben die letzten drei Zeilen einer Datei aus:

Oft ist es nützlich, den Kontext der mit dem Linux-Tail-Befehl verarbeiteten Datei im Auge zu behalten. Um die Zeilen mit Zeilennummern versehen auszugeben, verarbeiten wir die Datei zunächst mit dem nl-Befehl (der Name stammt von „line numbering“— „Zeilennummerierung“) und leiten die Ausgabe per Pipe an den Linux-Tail-Befehl weiter:

Der History-Befehl zeigt auf der Kommandozeile eingegebene Befehle an. Oft interessiert man sich nur für die letzten Aufrufe. Ferner kann eine komplette Ausgabe der Befehls-History u. U. sensible Daten enthüllen. Hier leiten wir die Ausgabe des History-Befehls an den Linux-Tail-Befehl weiter und geben die letzten fünf Zeilen aus:

Schauen wir uns ein komplexeres Beispiel an. Wir werden aus einem Verzeichnis mit Backup-Dateien die zehn ältesten Dateien löschen. Um dies zu bewerkstelligen, nutzen wir die vier Linux-Befehle 'ls', 'tail', 'xargs' und 'rm':

Was genau geschieht hier?

1. Der ls-Befehl listet die Dateien eines Verzeichnisses auf.

Mit der '-t'-Option versehen, werden die Dateien nach Änderungsdatum sortiert. Dabei stehen die ältesten Dateien ganz unten in der Liste.

Wir nutzen für die Datenquelle das Suchmuster '*.bak'. Dabei handelt es sich um eine gebräuchliche Datei-Endung für Backup-Dateien. Ferner dient dies zum Schutz, damit Sie beim Aufruf nicht aus Versehen wichtige Dateien löschen.

Per Pipe leiten wir die Dateiliste an den Linux-Tail-Befehl weiter.

2. Mit dem Linux-Tail-Befehl ohne Angabe von Optionen lesen wir die letzten zehn Dateien aus der Liste aus. Bei den ausgegebenen Dateinamen handelt es sich um die ältesten Dateien im Verzeichnis.
3. Der xargs-Befehl nimmt eine Liste von Dateien und den Namen eines Befehls entgegen. Der Befehl wird ausgeführt, wobei die Dateien als Argumente übergeben werden.

In unserem Beispiel gibt der Linux-Tail-Befehl einen Text mit mehreren Zeilen zurück. Jede Zeile enthält den Namen einer zu löschen Datei. Per 'xargs' werden die Dateinamen aus den Zeilen gelöst und als Argumente dem rm-Befehl übergeben.

4. Zum Löschen von Dateien unter Linux greifen wir auf den rm-Befehl zurück. Dieser löscht die als Argumente übergebenen Dateien.

Beachten Sie, dass die Dateien nicht in den Papierkorb verschoben, sondern sofort gelöscht werden.

Beim Löschen von Dateien auf der Linux-Kommandozeile ist Vorsicht geboten. Damit Sie unser Beispiel ohne Sorge ausprobieren können, sollten Sie zunächst ein Verzeichnis mit Test-Dateien anlegen. Führen Sie dafür den folgenden Code auf der Kommandozeile aus:

Zunächst legen wir ein Test-Verzeichnis 'tail-test/' auf dem Desktop an und wechseln in das Verzeichnis. Anschließend erzeugen wir 100 leere Test-Dateien mit den 'test-1.bak' bis 'test-100.bak'. Führen Sie danach den Code zum Löschen der zehn ältesten Dateien aus:

Bisher haben wir die generelle Funktionsweise des Linux-Tail-Befehls betrachtet. In den folgenden Beispielen legen wir den Fokus auf die Live-Überwachung von Server-Logdateien („Live-Tail“).

In diesen Beispielen gehen wir vom Apache2-Webserver unter Ubuntu-Linux aus. Dort liegen die Logdateien im Verzeichnis '/var/log/apache2/'. Auf anderen Linux-Distributionen ist der Speicherort ggf. ein anderer. Gleiches gilt bei anderen Webservern, wie etwa nginx.

Ein normaler Aufruf des Linux-Tail-Befehls gibt einmalig die angegebene Anzahl Zeilen einer Datei aus. Werden danach neue Daten am Ender Datei angehängt, muss der Befehl erneut ausgeführt werden. Genau für diesen Fall gibt es weiterführende Optionen. Diese weisen das Kommando an, eine Datei auf Änderungen zu überwachen und diese kontinuierlich auszugeben.

Schauen wir uns an, wie das am Beispiel des Zugriffs-Logs des Apache2-Webserver funktioniert. Wir rufen den Linux-Tail-Befehl mit der -f-Option auf und übergeben den Namen der Logdatei:

So aufgerufen, werden Änderungen am Zugriffs-Log kontinuierlich ausgegeben. Dieser Ansatz ist bei vielen Zugriffen pro Zeiteinheit nicht praktikabel. In diesem Falle ändert sich das Log so schnell, dass das Terminal mit Daten überflutet wird. Drücken Sie die Tastenkombination 'Strg+C', um die laufende Ausführung des Live-Tails abzubrechen.

Mit der Option '-f' aufgerufen, überwacht der Linux-Tail-Befehl die angegebene Datei. Wird diese entfernt, bricht die Ausgabe ab. Wie eingangs erklärt, werden Logdateien periodisch rotiert. Es wird also eine neue Datei unter dem alten Namen angelegt. Um die Überwachung einer Log-Datei trotz Rotation fortzusetzen, nutzen wir die -F-Option:

Bisher haben wir mit dem Linux-Tail-Befehl eine einzelne Datei verarbeitet. Der Befehl erlaubt jedoch auch die Überwachung mehrerer Dateien gleichzeitig. Hier nutzen wir das Suchmuster '*.log', um alle Dateien mit der Endung '.log' kontinuierlich zu überwachen:

Für die Verarbeitung mehrerer Dateien gibt es zwei weitere Optionen. Zum einen können wir mit der '-q'-Option die Ausgabe der Dateinamen unterdrücken:

Analog dazu lässt sich mit der -v-Option die Ausgabe der Dateinamen erzwingen. Dies macht Sinn, falls das Suchmuster nur eine einzelne Datei zurückliefert:

In den bisherigen Beispielen haben wir eine Logdatei auf jedwede Änderung hin überwacht. Gebräuchlicher ist jedoch die Einschränkung auf bestimmte Änderungen. Um die Ausgabe der Änderungen einer Logdatei auf ein Suchmuster zu begrenzen, nutzen wir den grep-Befehl. Hier ein generelles Beispiel für diesen Ansatz:

Konkret ist es oft sinnvoll, einen Server-Log auf den Zugriff durch eine bestimmte IP-Adresse zu überwachen. Dies kann beispielsweise nützlich sein, um festzustellen, ob ein Angriff auf einen Server bereits abgeschlossen ist oder noch läuft. Hier überwachen wir das Zugriffs-Log des Apache-Webserver auf von der IP-Adresse '93.184.216.34' stammende Anfragen:

Schauen wir uns ein weiteres geläufiges Einsatz-Szenario an. Anstatt das Zugriffs-Log nach IP-Adresse zu filtern, überwachen wir Zugriffe auf eine bestimmte Ressource. Ein Zugriff auf die Datei 'robots.txt' weist auf Anfragen von Suchmaschinen-Bots hin. Wiederum machen wir uns den Grep-Befehl zunutze. So aufgerufen werden nur neu hinzukommende Zugriffe von Suchmaschinen-Bots ausgegeben: