Systemd/Journald
journald - Service Unit des systemd zum Logging in das zentrale Journal
Beschreibung
- Standardmäßig werden dort die Logmeldungen gesammelt
- Kernel
- System
- Service Units
- stdout
- stderr
- system.journal
Die Logmeldungen werden standardmäßig in der Datei system.journal gespeichert
- /run/log/journal/UUID_DES_VERZEICHNISSES
- Die UUID_DES_VERZEICHNISSES variiert dabei von System zu System
- Persistente Speicherung
Aktiviert man die persistente Speicherung der Logdateien, dann ändert sich der Speicherort zu /var/log/journal/UUID_DES_VERZEICHNISSES
- Je nach Einstellung wird zusätzlich für jeden angemeldeten Benutzer eine Journald-Datei angelegt
- Log rotation
journald kümmert sich selbst um die Log rotation
- Standardmäßig erfolgt dies in Abhängigkeit von der Größe der Logdatei, wobei man in der Konfiguration auch eine zeit-basierte Logrotation umstellen kann
- Binäre Journaldateien
- Zum Auslesen sind spezielle Programme notwendig
- Möglichkeiten
- Schutz vor Manipulation
Zusätzlich schützt journald die Journaleinträge gegen Manipulation durch eine Technik namens "Forward Secure Sealing"
- Dadurch wird es etwa unerwünschten Eindringlingen ins eigene System erschwert, ihre Spuren durch Manipulation der Logeinträge zu verschleiern
Installation
Journal-Datei auslesen
| Befehl | Beschreibung |
|---|---|
| journalctl | Standardwerkzeug zum Auslesen und Anzeige der Journaldatei |
| strings und grep | strings /pfad/zum/system.journal | grep -i SUCHBEGRIFF |
Obwohl die Logdateien in einem Binärformat gespeichert werden, sind darin gespeicherte Meldungen unverändert als Zeichenketten abgelegt und lassen sich mit dem Werkzeug strings (binutils) und grep ohne journalctl herausfiltern:
strings system.journal | grep -i SUCHBEGRIFF
Der Pfad ist meist ein Unterordner von /run/log/journal/
Aufruf
Optionen
Argumente
Umgebungsvariablen
Exit-Status
Anwendung
Problembehebung
Anhang
Siehe auch
Dokumentation
- Man-Page
Links
Projekt
Weblinks