Verwalten Sie Logs Systemd-Ereignisse mit Journalctl Linux

administrator Leave a Comment

Bei der Verwaltung von Linux-Betriebssystemen müssen Hunderte von Prozessen ständig überprüft werden, um den bestmöglichen Service auf dem Server oder den Client-Computern zu gewährleisten. In Linux-Umgebungen finden wir Systemd, ein innovatives System, mit dem wir Informationen zu den Prozessen während des Startvorgangs des Betriebssystems parallel erfassen können.

Systemd ist in den meisten Linux-Distributionen wie Fedora, Debian, Ubuntu, OpenSuSE, Arch, RHEL, CentOS und anderen vorhanden. Mit Systemd haben wir die Möglichkeit , alle Services und Prozesse des Systems zentral zu verwalten . Für diese Analyse verwenden wir CentOS 7.

1. Konfigurieren von Journald zum Sammeln von Systemd-Datensätzen

Grundsätzlich ist Journald für das Sammeln und Schreiben von täglichen Betriebssystemeinträgen wie Startmeldungen, Kernelmeldungen, Syslog-Meldungen und Anwendungsdatensätzen verantwortlich. Alle Journald-Informationen werden unter dem Pfad /etc/systemd/journald.conf gehostet, und die dort aufgezeichneten Werte entsprechen den lokalen Systemanforderungen.

Eine einfache Möglichkeit, den Inhalt dieser Route zu visualisieren, besteht darin, die folgende Zeile mit dem Parameter cat auszuführen: 

 cat /etc/systemd/journald.conf

ADMINISTRAR-LOGS-EVENTOS-DE-SYSTEMD-CON-JOURNALCTL-LINUX-1.png

2. Aktivieren Sie das Journal auf dem Datenträger

Die meisten Linux-Distributionen erlauben nicht, dass persistente Nachrichten in Ihrem Boot-System gespeichert werden, um die Boot-Informationen zu sammeln.

Um diese Registrierung zu aktivieren, müssen Sie auf den Pfad / var / log / journal zugreifen und dort die Speicherzeile bearbeiten. Um dorthin zu gelangen, verwenden wir Editoren wie nano oder vi wie folgt: 

 sudo vi /etc/systemd/journald.conf sudo nano /etc/systemd/journald.conf

Beim Zugriff auf diese Datei sehen wir Folgendes:

ADMINISTRAR-LOGS-EVENTOS-DE-SYSTEMD-CON-JOURNALCTL-LINUX-2.png

Dort werden wir die Storage-Zeile vom Auto-Wert zum persistenten Wert ändern:

ADMINISTRAR-LOGS-EVENTOS-DE-SYSTEMD-CON-JOURNALCTL-LINUX-3.png

Änderungen speichern
Speichern Sie die Änderungen mit den Tasten Strg + O und beenden Sie den Editor mit Strg + X.

Um detaillierte Informationen zu den einzelnen Elementen von Journal zu erhalten, können Sie die folgende Zeile ausführen: 

 man journald.conf

ADMINISTRAR-LOGS-EVENTOS-DE-SYSTEMD-CON-JOURNALCTL-LINUX-4.png

3. Datum und Uhrzeit mit Timedatectl einstellen

Dieser Aspekt ist wichtig, da bei korrekter Konfiguration von Datum und Uhrzeit die Aufzeichnungen viel zuverlässiger und genauer sind.

See also  Setzen Sie das Kennwort für den lokalen Windows 10-Benutzer zurück, wenn Sie Fragen haben

Um das aktuelle Datum und die aktuelle Uhrzeit anzuzeigen, führen wir eine der folgenden Zeilen aus: 

 timedatectl timedatectl status

Das Ergebnis wird folgendes sein:

ADMINISTRAR-LOGS-EVENTOS-DE-SYSTEMD-CON-JOURNALCTL-LINUX-5.png

Wenn Sie eine andere Zeitzone konfigurieren, führen Sie die folgende Syntax aus: 

 sudo timedatectl set-timezone (Stadt / Land) sudo timedatectl set-time "HH: MM: SS"

4. Nachrichten aus den Protokollen mit Journalctl anzeigen

Der Befehl journalctl ist ein in Linux enthaltenes Dienstprogramm, mit dem wir den Inhalt von systemd anzeigen können. Um alle Datensätze ohne Filterung anzuzeigen, führen wir die folgende Zeile aus: 

 journalctl

Das Ergebnis wird folgendes sein:

ADMINISTRAR-LOGS-EVENTOS-DE-SYSTEMD-CON-JOURNALCTL-LINUX-6.png

Nun sind die folgenden Filter, die wir mit Journalctl verwenden können:

Filter basierend auf Boot oder Boot
Mit diesem Filter können wir unter anderem die Startnummern, ihre ID, ihre Zeitstempel anzeigen.
Dazu verwenden wir den Parameter –list-boots: 

 journalctl --list-boots

ADMINISTRAR-LOGS-EVENTOS-DE-SYSTEMD-CON-JOURNALCTL-LINUX-7.png

Wenn wir die Datensätze vom aktuellen Start sehen wollen, werden wir die folgende Zeile verwenden: 

 journalctl -b

Um frühere Datensätze anzuzeigen, verwenden wir die folgende Zeile: 

 journalctl -b -1

Filter basierend auf der Zeit
Mit diesem Filter können wir das UTC-Format (Coordinated Universal Time) mit dem Parameter -utc verwenden: 

 journalctl -utc

ADMINISTRAR-LOGS-EVENTOS-DE-SYSTEMD-CON-JOURNALCTL-LINUX-8.png

Zusätzlich können wir Filter wie folgt hinzufügen: 

 journalctl - seit "2017-07-02 08:30:00" (Ergebnisse vom angegebenen Datum anzeigen) journalctl - seit heute (Ergebnisse des aktuellen Tages anzeigen) journalctl - seit gestern (Ergebnisse vom Vortag anzeigen)

Sehen Sie die neuesten Ereignisse
Der Standardwert für die Verwendung von Journalctl ist 10 Datensätze. Wenn Sie jedoch den Parameter -n verwenden, können Sie eine kleinere oder größere Menge angeben. 

 journalctl -n 5

ADMINISTRAR-LOGS-EVENTOS-DE-SYSTEMD-CON-JOURNALCTL-LINUX-9.png

Ereignisse anzeigen, die vom Kernel generiert wurden
Um die vom Kernel generierten Nachrichten zu visualisieren, verwenden wir den Parameter -k wie folgt: 

 journalctl -k

ADMINISTRAR-LOGS-EVENTOS-DE-SYSTEMD-CON-JOURNALCTL-LINUX-10.png

Ebenso haben wir folgende Möglichkeiten:
  • Veranstaltungen nach Einheiten anzeigen: 
     journalctl -u (service)
  • Ereignisse nach Prozessen anzeigen: 
     journalctl _PID = (# PID), journalctl _PID = (PID) - seit heute, journalctl _PID = (PID) - seit gestern
  • Ereignisse nach Benutzer- oder Gruppen-ID anzeigen: 
     journalctl _UID = 1000
  • Ereignisse anzeigen, die von einer bestimmten Datei generiert wurden: 
     journalctl / usr / bin / bash
  • Ereignisse nach Priorität anzeigen: journalctl -p (Code oder Begriff), die verfügbaren Optionen sind: 
     0 - emerge, 1 - alert, 2 - crit, 3 - err, 4 - warning, 5 - notice, 6 - info, 7 - debug

Auf diese Weise bietet Journalctl verschiedene praktische Lösungen für diese Aufgabe.

See also  So überwachen Sie Ubuntu Server Linux-Systeme mit TICK Stack

administrator

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *