logging mit systemd-journald Flashcards
Wie heißt der logging daemon in systemd systemen?
systemd-journald
Wo bfindet sich die config datei für systemd-journald ?
/etc/systemd/journald.conf
oder/etc/systemd/journald.conf.d/
Wo ist das Standardverzeichnis für ein journal ?
/var/log/journal/
sind journale textdateien ?
nein, sind binär und können daher nicht mit cat/less/more gelesen werden.
Wie ist die sortierung wenn nur journalctl ohne optionen verwendet wird ?
Die ältesten logs werden zuerst gelistet.
Welche optionen können für journalctl hilfreich sein, damit man die neuesten Logs sofort sieht ?
-e (springt an das Ende des Journals)
oder-r (revert - zeigt die jüngsten Logs zuerst)
Was ist das equvivalent zu tail -n
journalctl -n
oderjournalctl --lines=
Was macht journalctl -b -1
Zeigt Logeinträge vom vorletztem Bootvorgang.
Wie kann der Kernelringbuffer mittels journalctl ausgelesen werden ?
journalctl -bjournalctl -kjournalctl --dmesgjournalctl --boot
Wie kann man suchen wenn das journal bereits mit journalctl angezeigt wird ?
/ Suche vorwärts? Suche rückwärtz
n hüpft zum nächsten Treffershift+n hüpft zum vorherigen Treffer.
Welche Option für journalctl zeigt den Speicherverbrauch des journals ?
journalctl --disk-usage
Was macht der Parameter Storage=
in
/etc/systemd/journald.conf
legt fest, wie die Journale gespeichert werden.
volatile legen Sie fest, dass lediglich im RAM protokolliert wird,
Es wird /run/log/journal erstellt und flüchtig gespeichert.
..persistent speichert in /var/log/journal
wird angelegt falls nicht vorhanden.
..none es wird verworfen
..auto speichert in /var/log/journal statt, wenn dieses Verzeichnis existiert.
wird nicht angelegt wenn nicht vorhanden.
Was macht die Option RuntimeKeepFree
und SystemKeepFree
in
/etc/systemd/journald.conf
RuntimeKeepFree
Steuert wieviel Menge des RAM freibleiben muss wenn flüchtig gespeichert wird.
..SystemKeepFree
Steuert die Menge des Festplattenplatzes, der für andere Benutzer frei bleiben soll.
Standard ist 15% vom filesystem.
Was bedeutet wenn in /var/log/journal ein journal das suffix ~ hat ?
Z.Bsystem.journal~
Sind ist beschädigt oder der Daemon wurde unsauber gestoppt
Was macht journalctl --vacuum-size=100M
Löscht archivierte Journaldateien bis sie einen Wert unterhalb
der angegebenen Größe einnehmen.
Was macht journalctl --flush
Fordert das Flushen der Journal-Dateien von /run/ nach /var/ an, um das Journal persistent zu machen.
Er setzt voraus, dass persistentes Logging aktiviert und /var/ eingehängt ist.
Welcher log daemon in einem systemd system ist ähnlich wie logger?
systemd-cat
sendet einen Eintrag an systemd-journald
Wenn Sie nach Priorität filtern, erscheinen auch Logs mit einer höheren Priorität als angegebenen
zum Beispiel gibt journalctl -p err die Meldungen error, critical, alert und emergency aus.
Sie können aber auch veranlassen, dass journalctl nur einen bestimmten Bereich anzeigt. Welchen Befehl nutzen Sie, damit journalctl nur Meldungen der Prioritätsstufen warning, error und critical ausgibt?
journalctl -p warning..crit
Sie können die Prioritätsstufen für journalctl auch numerisch angeben. Schreiben Sie den Befehl aus der vorherigen Übung (warning..crit) unter Verwendung der numerischen Darstellung von Prioritätsebenen:
journalctl -p 4..2
Auf was muss der Storage= Paramter in der etc/systemd/journald.conf
gesetzt sein ?Logdaten werden verworfen, aber Weiterleitung ist möglich.
Storage=none
Auf was muss der Storage= Paramter in der etc/systemd/journald.conf
gesetzt sein ?Sobald das System hochgefahren ist, werden die Logdaten unter /var/log/journal gespeichert. Wenn das Verzeichnis nicht bereits vorhanden ist, wird es erstellt.
Storage=persistent
Auf was muss der Storage= Paramter in der etc/systemd/journald.conf
gesetzt sein ?Sobald das System hochgefahren ist, werden die Logdaten unter /var/log/journal gespeichert. Wenn das Verzeichnis nicht bereits vorhanden ist, wird es nicht erstellt.
Storage=auto
Auf was muss der Storage= Paramter in der etc/systemd/journald.conf
gesetzt sein ?Protokolldaten werden unter /var/run/journal gespeichert, überleben aber keinen Neustart.
Storage=volatile
Verringern Sie die Menge des für archivierte Journaldateien reservierten Speicherplatzes und setzen Sie ihn auf 200MiB:
journalctl --vacuum-size=200M
Zeigen Sie nur logs vom Benutzer miwo(UID 1000)
journalctl _ID=1000
Wie erhält man mit journalctl eine Liste aller verfügbaren Bootvorgänge ?
journalctl --list-boots
Was macht die Optionen SystemMaxUse und RuntimeMaxUse in
etc/systemd/journald.conf
SystemMaxUse
wird verwendet um die maximale Größe des Journals im Dateisystem festzulegen.
Standard ist 10% vom Filesystem
…RuntimeMaxUse
wird verwendet um die maximale Größe des journals im RAM festzulegen.
Standard ist 10% vom RAM
Wie kann man mit journalctl einen zeitraum angeben?
journalctl –since “time” –until “time”
Zeig Meldungen des zweiten Boot ab Journalbeginn
journalctl -b 2
Meldungen des zweiten Boot ab Ende des Journals.
Also des vorvorletzten boot
journalctl -b -2
Zeige Meldungen, die zu einem bestimmten
Benutzer gehören
journalctl _ID=1008
Zeige Meldungen von einem Rechner namens
debian
journalctl _HOSTNAME=debian
Zeige Meldungen die zu einer bestimmten Gruppe
gehören
journalctl _GID=<group-id>
Zeige Meldungen, die zu root gehören
journalctl _UID=0
Nur neue Nachrichten ab jetzt ausgeben und
die Ausgabe kontinuierlich aktualisieren
journalctl --since "now" -f
