systemd schreibt Protokoll-Informationen in ein zentrales Journal. Und warum ist das so cool? Diese Art der Verwaltung ist zentralisiert, Protokolle werden nicht im gesamten System verteilt und sind so leichter zu interpretieren.
Das System, dass alle Protokolle sammelt und verwaltet, heißt Journal – und dieses Journal wird mit dem Daemon journald implementiert. Damit arbeite ich regelmäßig!
Was ist journalctl und wo kommt es vor?
Journalctl ist ein Tool, mit dem sich Protokolle (Log-Dateien) gezielt von Systemd abfragen und anzeigen lassen.
Neuere systemd-basierte Linux-Systeme verwenden jetzt zwei Protokollierungsdienste für die Systemprotokolle:
- Der journald: Es ist so konfiguriert, dass Protokolle nur im Speicher bleiben.
- Das rsyslogd: Es ruft vom journald gesendete Nachrichten ab und speichert diese auf der Festplatte.
Benützen des Systemjournals
Das Tool journalctl wird verwendet, um die Nachrichten im Systemprotokoll anzuzeigen. Bei Verwendung ohne Parameter wird der gesamte Inhalt des Systemprotokolls angezeigt. Es können Optionen und Filter verwendet werden, um die Ausgabe von journalctl zu ändern.
Warum gerade Journald?
Journald sammelt die Meldungen des Kernels, von Initrd, den Diensten und allen anderen verfügbaren Quellen und fasst sie zusammen. Hier sammelt es deutlich mehr Daten als die Log-Dateien. Wie z.B. /var/log/messages oder /var/log/syslog. Außerdem erhält man Metadaten, die die Ergebnisse der Suche im Journal deutlich verfeinern.
Beispiele für Basiskommandos
Mit Filtern können Sie ändern, für welche Dienste und Einheiten Informationen angezeigt werden und welche ausführbaren Dateien Informationen anzeigen sollen.
Konkrete Grenzwerte setzen & und effizienter suchen
Überall dort, wo sich große Datenmengen ansammeln, wird es schnell unübersichtlich. Diese Praxisbeispiele zeigen, wie wir trotz einer großen Anzahl von protokollierten Daten den Überblick wahren und effizient arbeiten können.
Die Befehle für euch:
journalctl -n 5 -u nginx.service
journalctl -p crit
journalctl -p warning
journalctl --since "2021-02-18" --until "2021-02-19 08:00"Fazit
Das Journal von systemd ist beim Sammeln und Verwalten von System- und Anwendungsdaten sehr nützlich. Der größte Teil der Flexibilität ergibt sich aus der umfassenden automatisierten Protokollierung von Metadaten und der Zentralisierung von Protokollen. Mit dem Befehl journalctl können Sie die erweiterte Funktion des Protokolls problemlos verwenden und verschiedene Anwendungskomponenten umfassend analysieren und debuggen.
