Systemd/Journald
journald - Service Unit des systemd zum Logging in das zentrale Journal
Beschreibung
Standardmäßig werden dort die Logmeldungen des Kernels, des Systems, der Service Units als auch von stdout und stderr gesammelt
Die Logmeldungen werden standardmäßig in der Datei system.journal gespeichert
- /run/log/journal/UUID_DES_VERZEICHNISSES
- Die UUID_DES_VERZEICHNISSES variiert dabei von System zu System
Aktiviert man die persistente Speicherung der Logdateien, dann ändert sich der Speicherort zu /var/log/journal/UUID_DES_VERZEICHNISSES
- Je nach Einstellung wird zusätzlich für jeden angemeldeten Benutzer eine Journald-Datei angelegt, siehe den entsprechenden Abschnitt dazu weiter unten
- journald kümmert sich selbst um die Log rotation
- Standardmäßig erfolgt dies in Abhängigkeit von der Größe der Logdatei, wobei man in der Konfiguration auch eine zeit-basierte Logrotation umstellen kann
- Journaldateien werden binär gespeichert
- Zum Auslesen der Daten gibt es verschiedene Möglichkeiten
- Schutz vor Manipulation
Zusätzlich schützt journald die Journaleinträge gegen Manipulation durch eine Technik namens "Forward Secure Sealing"
- Dadurch wird es etwa unerwünschten Eindringlingen ins eigene System erschwert, ihre Spuren durch Manipulation der Logeinträge zu verschleiern
Installation
Journal-Datei auslesen
journalctl
journalctl ist das Standardwerkzeug zum Auslesen und Anzeige der Journaldatei
strings und grep
Auch wenn die Logdateien in einem Binärformat gespeichert werden, sind darin gespeicherten Meldungen unverändert als Zeichenketten abgelegt und lassen sich mit dem Werkzeug strings (enthalten im Paket binutils) und grep auch ohne journalctl herausfiltern:
strings /pfad/zum/system.journal | grep -i SUCHBEGRIFF
(der Pfad ist meist ein Unterordner von /run/log/journal/)
Aufruf
Optionen
Argumente
Umgebungsvariablen
Exit-Status
Anwendung
Problembehebung
Anhang
Siehe auch
Dokumentation
- Man-Page
- Info-Page
Links
Projekt
Weblinks