Server-Logs verstehen: Wie ihr Fehler selbst finden und beheben könnt

Back

Stellt euch vor: Euer Server spinnt. Die Webseite lädt nicht, der Gameserver laggt, oder plötzlich können sich Nutzer nicht mehr einloggen. Was tun? Bevor ihr in Panik verfallt und den Support kontaktiert, gibt es eine Goldgrube an Informationen direkt auf eurem Server: Die Log-Dateien.

Logs sind das Tagebuch eures Servers. Jedes Ereignis, jeder Fehler, jeder Login-Versuch wird hier akribisch festgehalten . Wer sie lesen kann, wird zum Detektiv der eigenen Infrastruktur.

Bei NexoraHost zeigen wir euch heute, wo die wichtigsten Logs liegen, wie ihr sie lest und welche Werkzeuge euch dabei helfen. Denn oft reicht ein Blick in die Logs, um das Problem selbst zu lösen – schneller, als ihr denkt.

📍 Wo liegen die Logs überhaupt?

Linux-Server: Das Verzeichnis /var/log

Auf (fast) allen Linux-Systemen ist der zentrale Ort für Logs das Verzeichnis /var/log/ . Hier finden sich unzählige Dateien, aber keine Sorge – ihr müsst nicht alle kennen. Diese sind die wichtigsten:

Log-Datei Inhalt Distributions-Unterschiede
syslog oder messages Allgemeine Systemmeldungen, Start/Stopp von Diensten, Kernel-Infos. Der erste Anlaufpunkt bei Problemen!  Debian/Ubuntu: /var/log/syslog 
    Red Hat/CentOS/AlmaLinux: /var/log/messages 
auth.log oder secure Authentifizierung: Logins (SSH, lokal), sudo-Nutzung, fehlgeschlagene Anmeldeversuche  Debian/Ubuntu: /var/log/auth.log
    Red Hat/CentOS: /var/log/secure 
kern.log Kernel-Meldungen. Hilfreich bei Hardware-Problemen, Speicherfehlern oder Treiber-Problemen  Debian/Ubuntu: /var/log/kern.log
dmesg Kernel-Ringpuffer (Startmeldungen, Hardware-Erkennung). Kann mit dem Befehl dmesg gelesen werden  Alle Distributionen
boot.log Meldungen während des Systemstarts  Nicht auf allen Systemen vorhanden
cron Logs der Cron-Jobs (geplante Aufgaben). Seht ihr, ob eure Backups und Skripte gelaufen sind  /var/log/cron

Anwendungs-Logs

Auch eure installierten Dienste schreiben fleißig mit:

Anwendung Log-Verzeichnis Wichtigste Dateien
Nginx /var/log/nginx/ access.log (Zugriffe), error.log (Fehler) 
Apache /var/log/apache2/ (Debian/Ubuntu) oder /var/log/httpd/ (Red Hat/CentOS)  access.logerror.log 
MySQL/MariaDB /var/log/mysql/ error.log 
PHP-FPM /var/log/php-fpm/ oder versionsspezifisch (z.B. /var/log/php8.1-fpm.log error.log
Gameserver Oft im Installationsverzeichnis des Servers, z.B. /home/minecraft/server/logs/ Variiert je nach Spiel

Windows Server: Die Ereignisanzeige (Event Viewer)

Unter Windows heißen die Logs Ereignisprotokolle und werden in der Ereignisanzeige (Event Viewer) verwaltet .

So öffnet ihr sie: Drückt Windows-Taste + R, gebt eventvwr.msc ein und drückt Enter.

Die wichtigsten Protokolle findet ihr unter "Windows-Protokolle" :

  • Anwendung (Application): Hier loggen installierte Programme und Dienste (z.B. Office, Spiele, aber auch IIS) .

  • Sicherheit (Security): Das Pendant zu auth.log. Hier werden erfolgreiche und fehlgeschlagene Anmeldeversuche, Rechteänderungen und andere sicherheitsrelevante Ereignisse aufgezeichnet .

  • Setup: Ereignisse bei der Installation von Programmen oder Updates .

  • System: Das Herzstück der Windows-Logs. Hier findet ihr Meldungen von Windows-Diensten, Treibern und Systemkomponenten – vergleichbar mit syslog unter Linux .

  • Weitergeleitete Ereignisse (Forwarded Events): Falls ihr Logs von anderen Rechnern zentral sammelt .

So filtert ihr: Klickt auf ein Protokoll und dann rechts unter "Aktionen" auf "Aktuelles Protokoll filtern..." Hier könnt ihr nach Ereignisebenen (Fehler, Warnung, Information) oder bestimmten Ereignis-IDs suchen .

🛠️ Wie lese ich Logs? Die wichtigsten Werkzeuge

Linux: Die Kommandozeile ist euer Freund

Ihr müsst kein Terminal-Guru sein, diese Befehle reichen für den Anfang völlig aus :

  • less – Der sicherste Weg, große Logs zu durchsuchen.

    bash

    sudo less /var/log/syslog

    Drückt /, um nach einem Begriff zu suchen (z.B. /error), n für den nächsten Treffer, q zum Beenden.

  • tail – Die neuesten Einträge sehen.

    bash

    # Zeigt die letzten 10 Zeilen (Standard)
sudo tail /var/log/nginx/error.log

# Zeigt die letzten 50 Zeilen
sudo tail -n 50 /var/log/mysql/error.log

# Das Wichtigste: "Folgt" dem Log live (-f für "follow")
sudo tail -f /var/log/auth.log

    Mit tail -f seht ihr neue Einträge sofort – perfekt, um live zu sehen, was beim Reproduzieren eines Fehlers passiert .

  • grep – Euer mächtigster Detektiv. Es durchsucht Dateien nach Mustern .

    bash

    # Findet alle Zeilen mit "error"
sudo grep "error" /var/log/syslog

# Groß-/Kleinschreibung ignorieren (-i) und nach "failed" suchen
sudo grep -i "failed" /var/log/auth.log

# Zeigt 2 Zeilen vor und 2 nach dem Treffer (-B und -A)
sudo grep -B 2 -A 2 "Out of memory" /var/log/kern.log

  • journalctl – Das Werkzeug für Systeme mit systemd (das ist heute fast überall Standard). Es liest die strukturierten Logs des journald-Dienstes .

    bash

    # Alle Logs dieser Boot-Sitzung anzeigen
journalctl -b

# Logs eines bestimmten Dienstes, z.B. nginx
journalctl -u nginx.service

# Logs der letzten 5 Minuten und live folgen
journalctl --since "5 minutes ago" -f

# Nur Fehler anzeigen (-p err)
journalctl -p err

Windows: Filtern in der Ereignisanzeige

In der Ereignisanzeige könnt ihr Logs nicht nur ansehen, sondern auch komfortabel filtern.

  • Erstellen einer benutzerdefinierten Ansicht: Klickt rechts auf "Benutzerdefinierte Ansicht erstellen...". Hier könnt ihr nach Ereignisebene (z.B. "Fehler"), Zeitraum und Ereignis-ID filtern . Das ist ideal, um z.B. alle Fehler der letzten 24 Stunden zu sehen.

  • Nach spezifischen Ereignis-IDs suchen: Viele bekannte Windows-Probleme haben feste Ereignis-IDs. Ein Klick auf "Aktuelles Protokoll filtern..." und Eingabe der ID (z.B. 6008 für unerwartete Herunterfahrten) bringt euch direkt zu den relevanten Einträgen .

  • PowerShell für Fortgeschrittene:

    powershell

    # Holt alle Fehler aus dem Systemlog der letzten 24 Stunden
Get-EventLog -LogName System -EntryType Error -After (Get-Date).AddDays(-1)

🔍 Die wichtigsten Fehlerbilder und wie ihr sie in Logs findet

Hier sind einige typische Szenarien:

Szenario 1: "Meine Webseite zeigt nur noch einen 500er Fehler!"

  • Verdächtige: Apache oder Nginx.

  • Die Spurensuche (Linux):

    bash

    # Als erstes: Was sagt der Webserver?
sudo tail -n 50 /var/log/nginx/error.log
# Oder für Apache
sudo tail -n 50 /var/log/apache2/error.log

    Oft findet ihr hier einen Hinweis auf ein fehlerhaftes PHP-Skript oder eine falsche Dateiberechtigung. Wenn dort nichts steht, schaut ins PHP-FPM-Log :

    bash

    sudo tail -f /var/log/php8.1-fpm.log  # Version anpassen

  • Windows (IIS): Öffnet die Ereignisanzeige und prüft unter Windows-Protokolle > System auf Fehler des Dienstes "W3SVC" (World Wide Web Publishing Service).

Szenario 2: "Der Gameserver laggt oder keiner kann joinen!"

  • Verdächtige: Der Gameserver selbst, die Firewall.

  • Die Spurensuche (Linux):

    bash

    # 1. Läuft der Dienst überhaupt?
systemctl status minecraft-server  # Name des Dienstes anpassen

# 2. Direkt in die Logs des Servers schauen. Oft im Installationsverzeichnis:
cd /home/minecraft/server/logs/
ls -la
tail -f latest.log  # Oder wie die Log-Datei heißt

# 3. Prüfen, ob der richtige Port offen ist (z.B. 25565 für Minecraft)
sudo ss -tulpn | grep 25565

  • Die Spurensuche (Windows): Schaut in der Ereignisanzeige unter Windows-Protokolle > Anwendung nach Fehlern der entsprechenden Anwendung. Prüft mit netstat -an | findstr :25565, ob der Port korrekt lauscht.

Szenario 3: "Irgendjemand versucht, sich in meinen Server zu hacken!"

  • Verdächtige: Der SSH-Dienst.

  • Die Spurensuche (Linux):

    bash

    # Alle fehlgeschlagenen SSH-Logins anzeigen
sudo grep "Failed password" /var/log/auth.log

# Die Top 10 der angreifenden IPs finden
sudo grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -10

    Wenn ihr hier hunderte von Einträgen seht, läuft ein Brute-Force-Angriff . Die Lösung heißt dann Fail2Ban , ein Tool, das solche IPs automatisch sperrt.

  • Windows: Filtert im Sicherheitsprotokoll (Security) nach Ereignis-ID 4625 (fehlgeschlagene Anmeldung) .

Szenario 4: "Die Festplatte ist voll, aber ich weiß nicht womit!"

  • Die Spurensuche (Linux):

    bash

    # Erstmal schauen, wie voll es wirklich ist
df -h

# Dann die größten Verzeichnisse in /var/log finden
sudo du -sh /var/log/* | sort -h

    Oft sind es überdimensionierte oder sich ständig füllende Logs. Ganz oben stehen dann meistens /var/log/kern.log oder ein Anwendungs-Log, das durch einen Fehler im Stundentakt Gigabyte an Daten produziert.

  • Windows: Öffnet den Explorer, klickt mit rechts auf das Laufwerk C: und wählt "Eigenschaften". Mit der Schaltfläche "Bereinigen" könnt ihr temporäre Dateien und alte Windows-Updates löschen. Für eine detaillierte Analyse nutzt Tools wie TreeSize oder WizTree.

🚀 Pro-Tipps für angehende Log-Detektive

  • Gebt alten Logs keine Chance: Logs werden regelmäßig "gerotiert". Das bedeutet, alte Logs werden komprimiert (z.B. syslog.2.gz) und irgendwann gelöscht. Mit zless oder zgrep könnt ihr diese komprimierten Dateien direkt lesen, ohne sie vorher entpacken zu müssen :

    bash

    sudo zgrep "error" /var/log/syslog.2.gz

  • Mehrere Logs gleichzeitig im Auge behalten: multitail ist wie tail -f, nur für mehrere Dateien. So könnt ihr z.B. gleichzeitig das Access-Log und das Error-Log eures Webservers live beobachten .

  • Ereignis-IDs (Windows) sind eure Freunde: Wenn ihr einen Fehler seht, merkt euch die Ereignis-ID. Eine schnelle Google-Suche nach "Ereignis-ID [Nummer] Windows Server" führt euch oft direkt zu einer Lösung oder einer detaillierten Erklärung .

  • Fail2Ban ist euer Bodyguard: Installiert und konfiguriert Fail2Ban auf eurem Linux-Server. Es analysiert Log-Dateien (wie /var/log/auth.log) und sperrt automatisch IPs, die bösartige Muster zeigen (wie zu viele fehlgeschlagene Logins) .

🏁 Fazit: Logs sind euer Superpower

Das Lesen von Logs mag auf den ersten Blick wie das Entziffern einer Fremdsprache wirken. Aber glaubt uns: Mit ein wenig Übung werdet ihr schnell zum Profi. Die Logs verraten euch nicht nur, was kaputt ist, sondern oft auch direkt warum und manchmal sogar wie ihr es reparieren könnt.

Bei NexoraHost unterstützen wir euch natürlich gerne bei der Fehlersuche. Aber mit diesem Wissen seid ihr schon einen riesigen Schritt weiter, wenn es darum geht, eure Server selbstständig zu verstehen und zu verwalten.

👉 Jetzt den passenden Server für euer Projekt finden 👈

Happy Log-Checking!

Published on 14.03.2026 - 18 views

More blog articles

5 Hosting-Kostenfallen, die du vermeiden solltest – und wie du wirklich sparst

  Du suchst nach einem neuen Server oder Webhosting und wirst von günstigen Lockangeboten überschüttet? Vorsicht – was auf den ersten Blick wie ein Schnäppchen aussieht, kann langfristig zu einer teuren Überraschung werden. Wir zeigen d...

08.01.2026 Read more

Was ist eigentlich... Webspace? Einfach erklärt (nicht nur für Oma!)

Was ist eigentlich... Webspace? Einfach erklärt (nicht nur für Oma!) Hast du schon mal von Webspace gehört und gedacht: "Was soll das sein?" Keine Sorge, du bist nicht allein. Viele Leute wissen nicht, was das ist - dabei nutzen sie es jeden Tag....

08.01.2026 Read more

Minecraft Server einrichten 2026: Der komplette Guide für Paper, Forge & Vanilla

Du hast bereits erste Erfahrungen mit Minecraft Servern gesammelt und möchtest jetzt deinen eigenen, professionellen Server aufsetzen? Egal ob du mit Mods, Plugins oder im klassischen Vanilla-Stil spielen willst – dieser Guide führt dich durch die wichtigsten...

08.01.2026 Read more