# Wo finde ich welche Enginsight Logs?

Die Enginsight Plattform besteht aus vielen Komponenten, deren Logs an unterschiedlichen Orten zu finden sind und die je nach Betriebssystem auf unterschiedliche Weise abgerufen und gespeichert werden können. Im Folgenden zeigen wir dir, wo welche Enginsight Logs zu finden sind.

***

## Pulsar

Der Name des Logs für den Enginsight Agenten Pulsar lautet **ngs-pulsar.log**. Du kannst das Pulsar-Log je nach Betriebssystem des Hosts unter folgenden Verzeichnispfaden finden:

<table><thead><tr><th width="224.66796875">Betriebssystem</th><th>Speicherort</th></tr></thead><tbody><tr><td>Windows</td><td>C:\Program Files\Enginsight\Pulsar\ngs-pulsar.log</td></tr><tr><td>Linux</td><td>/opt/enginsight/pulsar/ngs-pulsar.log</td></tr><tr><td>macOS</td><td>/opt/enginsight/pulsar/ngs-pulsar.log</td></tr></tbody></table>

***

## Hacktor, Observer und Watchdog

Für die Enginsight Komponenten Hacktor, Observer und Watchdog unterscheiden sich die Log-Verzeichnisse nach verwendetem Linux-Betriebssystem.

### Debian 12 und spätere Versionen

Ab Debian 12 werden System-Logs standardmäßig über `journalctl` verwaltet. Die Logs der Enginsight Komponenten werden daher nicht mehr klassisch ins Syslog geschrieben.

Die Namen der Logs für die Enginsight Komponenten Hacktor, Observer und Watchdog lauten **ngs-hacktor.log**, **ngs-observer.log** und **ngs-watchdog.log**.

Du kannst das Log einer Komponente mit folgenden Befehlen anzeigen oder speichern:

**Logs anzeigen**:

```
sudo journalctl -u ngs-<Komponentenname> -n 50
```

**Logs speichern**:

```
sudo journalctl -u ngs-<Komponentenname> -n 50 > /tmp/ngs-<Komponentenname>.log
```

{% hint style="info" %}
Vergiss nicht, `<Komponentenname>` mit dem Namen der Komponente, dessen Logs du einsehen möchtest, zu ersetzen. Zudem werden mithilfe dieser Befehle die letzten 50 Log-Einträge angezeigt bzw. gespeichert. Passe die Zahl `50` an, wenn du mehr Log-Einträge einsehen möchtest.&#x20;
{% endhint %}

### Ältere Debian-Versionen und CentOS

Bei älteren Systemen werden die Komponenten-Logs weiterhin klassisch ins Syslog geschrieben.

Du kannst die Logs der entsprechenden Komponente mit folgenden Befehlen als **.txt**-Datei speichern:

#### Debian

```
cat /var/log/syslog | grep -a hacktor-m24 > /tmp/<BenutzerdefinierterDateiname>.txt
cat /var/log/syslog | grep -a observer-m9 > /tmp/<BenutzerdefinierterDateiname>.txt
cat /var/log/syslog | grep -a watchdog-m23 > /tmp/<BenutzerdefinierterDateiname>.txt
```

#### CentOS

```
cat /var/log/messages | grep -a hacktor-m24 > /tmp/<BenutzerdefinierterDateiname>.txt
cat /var/log/messages | grep -a observer-m9 > /tmp/<BenutzerdefinierterDateiname>.txt
cat /var/log/messages | grep -a watchdog-m23 > /tmp/<BenutzerdefinierterDateiname>.txt
```

{% hint style="info" %}
Vergiss nicht, `<BenutzerdefinierterDateiname>` mit einem Dateinamen deiner Wahl zu ersetzen.
{% endhint %}

***

## Audits (Penetrationstests)

Die Logs von Penetrationstest-Audits findest du unter folgendem Verzeichnispfad:

```
/opt/enginsight/hacktor/logs/audit-<ID>.txt
```

{% hint style="info" %}
Die `<ID>` entspricht der Audit-ID, wie sie in der Benutzeroberfläche der Enginsight Plattform angezeigt wird.
{% endhint %}

***

## Loggernaut (SIEM)

Der Loggernaut ist eine Komponente des Enginsight SIEM, die dazu dient, Logs, die ins SIEM gebracht werden sollen, entgegenzunehmen und zu verarbeiten.

### Loggernaut-Log

Der Name des Logs für den Loggernaut selbst lautet **ngs-loggernaut.log**. Du kannst das Log mit folgendem Befehl speichern:

```
sudo journalctl -u ngs-loggernaut.service -n 50000 > ngs-loggernaut.log
```

### Backup-Logs

Du hast ebenfalls die Möglichkeit, Backups einzelner Organisationen zu erstellen und speichern. Diese Logs findest du unter folgendem Verzeichnispfad:

```
/opt/enginsight/loggernaut/backup/<OrganisationsID>/
```

{% hint style="info" %}
Die `<OrganisationsID>` entspricht der ID der Organisation, wie sie in der Benutzeroberfläche der Enginsight Plattform angezeigt wird.
{% endhint %}

***

## Docker-Container (z.B. für Sentinel, UI oder API)

Um die Logs einzelner Docker-Container aufzurufen, kannst du folgende Schritte vornehmen:

{% stepper %}
{% step %}
Logge dich auf dem Applikationsserver ein und navigiere mit folgendem Befehl in das Verzeichnis, in dem Enginsight installiert ist:

```
cd /opt/enginsight/enterprise
```

{% endstep %}

{% step %}
Rufe mit folgendem Befehl die laufenden Docker-Container auf:

```
sudo docker ps
```

{% endstep %}

{% step %}
Lasse dir mit folgendem Befehl das gewünschte Log anzeigen:

```
sudo docker logs <ContainerID> 
```

{% hint style="info" %}
Vergiss nicht, `<ContainerID>` mit der korrekten ID des Containers, in dem die Komponente läuft, deren Log du anzeigen möchtest, zu ersetzen.
{% endhint %}
{% endstep %}

{% step %}
Speichere das gewünschte Log wie folgt:

```
sudo docker logs <ContainerID> -t >& <BenutzerdefinierterDateiname>.txt
```

{% hint style="info" %}
Vergiss nicht, `<ContainerID>` mit der korrekten ID des Containers, in dem die Komponente läuft, sowie `<BenutzerdefinierterDateiname>` mit einem Dateinamen deiner Wahl zu ersetzen.
{% endhint %}
{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/knowledge-base/logging/wo-finde-ich-welche-enginsight-logs.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.