Protokollmeldungen sind wichtig für die Überwachung und Wartung eines fehlerfreien Linux-Systems. Jeder Linux-Computer speichert Protokollmeldungen für verschiedene Dienste oder Jobs. In diesem Handbuch erfahren Sie, wie Sie Protokollnachrichten mithilfe von analyze lesen und analysieren journalctl, ein Befehlszeilentool zum Lesen von Protokollnachrichten, die von. geschrieben wurden Tagebuch.

Was wird aufgezeichnet?

Journald ist ein Systemprotokollierungsdienst, der Protokollnachrichten in einem Journal aggregiert. Es ist ein Teil des systemd-Daemons, der für die Ereignisprotokollierung unter Linux verantwortlich ist. Das Journal ist einfach eine Binärdatei, die zum Speichern von Protokollnachrichten verwendet wird, die von journald generiert werden.

Journalprotokollnachrichten sind nicht dauerhaft, da sie im RAM gespeichert werden, einer flüchtigen Speicherform. Standardmäßig gehen aufgezeichnete Protokolle verloren oder werden gelöscht, wenn Ihr PC neu startet oder die Stromversorgung ausfällt. Linux weist Journalprotokollen eine feste Menge an RAM zu, um eine Verstopfung des Systemspeichers zu vermeiden.

So verwenden Sie den journalctl-Befehl

Sie können journalctl verwenden, um das Systemd-Journal oder die Journald-Protokolle abzufragen. Das System indiziert alle Journalprotokolle, um die Effizienz beim Lesen von Protokollnachrichten aus dem Journal zu verbessern.

Notiz: Dieses Handbuch verwendet sudo um Befehle mit erhöhten Rechten auszuführen, da der Befehl journalctl nicht alle Protokollnachrichten auflistet, wenn Sie ihn als normaler Linux-Benutzer ausführen.

Alle Protokollnachrichten anzeigen

Um alle Journalprotokolle anzuzeigen, führen Sie einfach den Befehl journalctl ohne Argumente aus: 

sudo journalctl

Der Befehl journalctl listet alle Journalprotokolle auf Ihrem System in chronologischer Reihenfolge auf. Der Befehl verwendet weniger im Hintergrund, was Ihnen die gleiche Navigationsfähigkeit bietet, die Sie normalerweise mit dem Befehl less hätten. Sie können zum Beispiel mit der Schaltfläche durch die Protokolle navigieren F und B Tasten auf Ihrer Tastatur.

Wenn Sie die Reihenfolge ändern möchten, in der das System die Protokolle ausgibt, d. h. die neuesten zuerst anzeigen möchten, können Sie die -R mit dem Befehl markieren. Das -R Flagge steht für Umkehren. 

sudo journalctl -r

Kernel-Journald-Logs anzeigen

Kernel-Protokolle sind unter Linux sehr wichtig, da sie Informationen zu Ihrem System ab dem Zeitpunkt des Hochfahrens enthalten. Um nur Kernel-Logs anzuzeigen, geben Sie die -k Flag mit dem Befehl journalctl: 

sudo journalctl -k

Die Ausgabe listet auch einige Kernel-Informationen auf, wie die Kernel-Version und ihren Namen.

Verbunden: Was ist ein Kernel in Linux und wie überprüfen Sie Ihre Version?

Aufgezeichnete Logs nach einem bestimmten Programm filtern

Sie können mit journalctl auch Protokolle anzeigen, die sich auf ein bestimmtes Programm oder einen bestimmten Dienst beziehen. Um beispielsweise Protokolle anzuzeigen, die mit dem cron service, führen Sie den folgenden Befehl aus: 

sudo journalctl -u cron

Protokollnachrichten in Echtzeit anzeigen

Manchmal möchten Sie möglicherweise die Protokolle in Echtzeit anzeigen, während sie protokolliert werden. Geben Sie dazu den folgenden Befehl ein: 

sudo journalctl -f

Verwenden Sie die Strg + C Tastenkombination, um die Echtzeitansicht zu verlassen.

Protokollnachrichten nach Datum abrufen

Sie können journalctl verwenden, um die Protokolle mithilfe eines Zeitstempels zu filtern und zu analysieren. Um beispielsweise die Protokolle von gestern bis heute anzuzeigen: 

sudo journalctl --since=gestern

Sie können genauer sein, indem Sie einen detaillierten "seit"- und "bis"-Zeitstempel wie folgt verwenden: 

sudo journalctl --since="2021-07-17 12:00:00" --bis="2021-07-17 15:00:00"

Journalctl zeigt nur die Protokollnachrichten für den angegebenen Zeitraum an.

Protokollnachrichten nach UID oder PID anzeigen

Sie können Journalprotokolle auch anhand der Benutzer-ID (UID) oder der Prozess-ID (PID) filtern. Die grundlegende Syntax lautet: 

sudo journalctl _UID=0

...wobei 0 die UID für das Root-Konto ist. Sie können die UID im oben genannten Befehl auch durch PID oder GID (Gruppen-ID) ersetzen.

Formatieren der journalctl-Ausgabe

Um Journalctl-Protokolle in einem bestimmten Ausgabeformat anzuzeigen, sollten Sie die journalctl -o Befehl gefolgt von Ihrem bevorzugten Format. Um beispielsweise die Protokolle in einem hübschen JSON-Format anzuzeigen, führen Sie den folgenden Befehl aus: 

sudo journalctl -o json-pretty

Ausgabe:

Verbunden: Erste Schritte mit der Systemprotokollierung unter Linux

Journald unter Linux konfigurieren

Dieses Handbuch hat Ihnen gezeigt, wie Sie Journalprotokollnachrichten unter Linux mit dem Befehl journalctl anzeigen und analysieren. Das /var/log/journal Verzeichnis speichert alle Journald-Protokolle. Beachten Sie, dass nicht alle Linux-Distributionen standardmäßig Journald aktiviert haben.

Du kannst den... benutzen /etc/systemd/journald.conf Datei, um die Journald-Konfiguration auf Ihrem PC zu konfigurieren oder zu ändern. Abgesehen von einem effektiven Protokollierungsdienst gibt es mehrere andere Tools, die ein Muss sind, wenn Sie die Sicherheit Ihrer Linux-Server ernst nehmen.

Email
6 unverzichtbare Open-Source-Tools zum Schutz Ihres Linux-Servers

Sie möchten keine Kompromisse bei der Sicherheit Ihres Linux-Servers eingehen? Installieren Sie diese sechs Tools, um ein undurchdringliches Netzwerk einzurichten.

Weiter lesen

Verwandte Themen
  • Linux
  • Linux-Grundstufe
  • Linux-Befehle
  • Systemadministration
Über den Autor
Mwiza Kumwenda (30 Artikel veröffentlicht)

Mwiza entwickelt von Beruf Software und schreibt ausgiebig über Linux und Frontend-Programmierung. Einige seiner Interessen umfassen Geschichte, Wirtschaft, Politik und Unternehmensarchitektur.

Mehr von Mwiza Kumwenda

Abonnieren Sie unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Klicken Sie hier, um zu abonnieren