Logberichten zijn belangrijk voor het controleren en onderhouden van een gezond Linux-systeem. Elke Linux-computer slaat logberichten op voor verschillende services of taken. In deze gids wordt onderzocht hoe u logberichten kunt lezen en analyseren met behulp van journaal, een opdrachtregelprogramma voor het lezen van logberichten geschreven door journaal.

Wat is journaled?

Journald is een systeemregistratieservice die logberichten samenvoegt in een journaal. Het is een onderdeel van de systemd-daemon die verantwoordelijk is voor het loggen van gebeurtenissen in Linux. Het journaal is gewoon een binair bestand dat wordt gebruikt voor het opslaan van logberichten die zijn gegenereerd door journald.

Journaallogboekberichten zijn niet persistent, omdat ze worden opgeslagen in RAM, wat een vluchtige vorm van opslag is. Standaard gaan journald-logboeken verloren of gewist wanneer uw pc opnieuw wordt opgestart of de stroom uitvalt. Linux wijst een vaste hoeveelheid RAM toe aan journald logs om te voorkomen dat het geheugen van je systeem verstopt raakt.

Hoe de journalctl-opdracht te gebruiken

U kunt journalctl gebruiken om het systemd-journaal of journald-logboeken op te vragen. Het systeem indexeert alle journaallogboeken om de efficiëntie te verbeteren bij het lezen van logberichten uit het journaal.

Opmerking: Deze handleiding gebruikt sudo om commando's uit te voeren met verhoogde privileges omdat het journalctl commando niet alle logberichten zal weergeven wanneer je het uitvoert als een gewone Linux-gebruiker.

Bekijk alle logberichten

Om alle journald-logboeken te bekijken, voert u eenvoudig de opdracht journalctl uit zonder enige argumenten: 

sudo journalctl

De opdracht journalctl zal alle journald-logboeken op uw systeem in chronologische volgorde weergeven. Het commando gebruikt minder op de achtergrond, wat u dezelfde navigatiemogelijkheden geeft als u over het algemeen zou hebben met het minder commando. U kunt bijvoorbeeld door de logboeken navigeren met behulp van de F en B toetsen op uw toetsenbord.

Als u de volgorde wilt wijzigen waarin het systeem de logs uitvoert, d.w.z. de laatste eerst weergeven, kunt u de -r vlag met het commando. De -r vlag staat voor Omgekeerde. 

sudo journalctl -r

Kernel journald-logboeken bekijken

Kernellogboeken zijn erg belangrijk op Linux omdat ze informatie bevatten over uw systeem vanaf het moment dat het opstart. Om alleen kernel logs te bekijken, specificeert u de -k markeer met het journalctl-commando: 

sudo journalctl -k

De uitvoer zal ook enkele kernelinformatie vermelden, zoals de kernelversie en zijn naam.

Verwant: Wat is een kernel in Linux en hoe controleer je je versie?

Logboeklogboeken filteren op een specifiek programma

U kunt ook logboeken met betrekking tot een specifiek programma of service bekijken met journalctl. Om bijvoorbeeld logboeken te bekijken die zijn gekoppeld aan de cron service, voer de onderstaande opdracht uit: 

sudo journalctl -u cron

Logboekberichten in realtime bekijken

Soms wilt u de logboeken in realtime bekijken terwijl ze worden vastgelegd. Geef daarvoor het volgende commando: 

sudo journalctl -f

Gebruik de Ctrl + C sneltoets om de realtime weergave te verlaten.

Ontvang logberichten op datum

U kunt journalctl gebruiken om de logboeken te filteren en te analyseren met behulp van een tijdstempel. Om bijvoorbeeld de logs van gisteren tot nu weer te geven: 

sudo journalctl --sinds=gisteren

U kunt specifieker zijn door een gedetailleerd "sinds" en "tot" tijdstempel te gebruiken, als volgt: 

sudo journalctl --since="2021-07-17 12:00:00" --until="2021-07-17 15:00:00"

Journalctl toont alleen de logberichten voor de opgegeven periode.

Logberichten bekijken via UID of PID

U kunt gejournaliseerde logboeken ook filteren met behulp van de gebruikers-ID (UID) of de proces-ID (PID). De basissyntaxis is: 

sudo journalctl _UID=0

...waarbij 0 de UID is voor het root-account. U kunt UID in de bovengenoemde opdracht ook vervangen door PID of GID (groeps-ID).

De journalctl-uitvoer opmaken

Om journalctl-logboeken te bekijken met een specifiek uitvoerformaat, moet u de. gebruiken journaalctl -o commando gevolgd door uw gewenste formaat. Als u de logboeken bijvoorbeeld in een mooie JSON-indeling wilt weergeven, voert u de onderstaande opdracht uit: 

sudo journalctl -o json-pretty

Uitgang:

Verwant: Aan de slag met systeemregistratie in Linux

Journald configureren op Linux

Deze handleiding heeft u laten zien hoe u gejournaliseerde logberichten op Linux kunt bekijken en analyseren met behulp van het journalctl-commando. De /var/log/journal directory slaat alle journald-logboeken op. Merk op dat niet alle Linux-distributies standaard journald hebben ingeschakeld.

U kunt de /etc/systemd/journald.conf bestand om de journaalconfiguratie op uw pc te configureren of te wijzigen. Afgezien van een effectieve logging-service, zijn er verschillende andere tools die een must zijn als je serieus bent over de beveiliging van je Linux-servers.

E-mail
6 onmisbare open source-tools om uw Linux-server te beveiligen

Wilt u geen concessies doen aan de beveiliging van uw Linux-server? Installeer deze zes tools om een ​​ondoordringbaar netwerk op te zetten.

Lees volgende

Gerelateerde onderwerpen
  • Linux
  • Linux Elementair
  • Linux-opdrachten
  • Systeem administratie
Over de auteur
Mwiza Kumwenda (30 artikelen gepubliceerd)

Mwiza ontwikkelt software van beroep en schrijft uitgebreid over Linux en front-end programmeren. Enkele van zijn interesses zijn geschiedenis, economie, politiek en ondernemingsarchitectuur.

Meer van Mwiza Kumwenda

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Klik hier om je te abonneren