21
Be smart. Think open source.
![Page 1: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/1.jpg)
Besmart.Thinkopensource.
![Page 2: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/2.jpg)
Modul"journald"[SSA1002]
![Page 3: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/3.jpg)
systemd-journaldDaemonDienstdervonsystemdverwaltetwird
SammeltalleLogsaneinerzentralenStelle
BinaryFormatmitdiversenVorteilengegenüberPlain-TextFormat
![Page 4: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/4.jpg)
ProblemeherkömmlichersyslogDienste1/2BisherwurdensämtlicheLogsnacheinembeliebigenMustergeschrieben(abhängigvomDienst/Tool)–automatischeLoganalyseschwierig
TimestampsenthieltenmeistkeineZeitzonenInfos
BinaryDatenkonntenbishernichtdirektinssysloggeschriebenwerden(coredumps,firmwaredumps,SCSIsensedata)
![Page 5: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/5.jpg)
ProblemeherkömmlichersyslogDienste2/2VieleverschiedeneLogs(syslog,lastlog,audit,kernellogs,etc.)
LogFilessindrelativeinfachmanipulierbar,AngreiferkönnenInformationenzueinemAngriffrelativeinfachverstecken
Earlyboot/lateshutdownInformationenmeistnichtvorhanden
![Page 6: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/6.jpg)
BackgroundLogFormatDieeinzigenMetaDaten,diebeiherkömmlichensyslogImplementationenmitgeschicktwerden,sindQuelle(Facility),Priorität,Timestamp,PID,Hostname/IP
DerSerberverifiziertdieseInformationenmeistnichtundlegtdieseeinszueinsab
DiemeistenInformationensindoptionalundesistnichtpräzisevorgeschrieben,wiedieSyntaxaussieht;dadurchvariierendieLogsjenachSyslogImplementationstark
![Page 7: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/7.jpg)
Konfigurationvonjournald1/2/etc/systemd/journald.conf
man5journald.conf
Storagedefiniert,obdasLogpersistentistpersistent=persistentin/var/log/journalvolatile=nurimMemoryauto=persistentin/var/log/journalwennvorhanden
Compressdefiniert,obKompressioneingeschaltetist
![Page 8: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/8.jpg)
Konfigurationvonjournald2/2Sealdefiniert,obpersistentejournalFilesmiteinemKeysigniertwerden,umdiesevorManipulationenzuschützen
ForwardToXYZdefiniert,objournaldNachrichtenaneinenherkömmlichensyslogDienst,denKernellogbuffer(kmesg),etc.weitergeleitetwerdensollen
NachÄnderungen:
systemctlrestartsystemd-journald
nichtvergessen!
![Page 9: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/9.jpg)
Loganalysemitjournalctl1/6journalctlisteinhigh-levelZugangzudenLogs
NützlicheFiltersinddirektintegriert:
BootNummer/SystemStarts
ZeitIntervall
SpezifischeLogFelder
![Page 10: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/10.jpg)
Loganalysemitjournalctl2/6LogseinesspezifischenToolsanalysieren
journalctl/usr/sbin/httpd
-fFortlaufendeAnzeige
-eZeigtdieletztenEinträge
-rUmgekehrteReihenfolge
LogseinesspezifischensystemdUnitsanzeigen
journalctl-umariadb
![Page 11: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/11.jpg)
Loganalysemitjournalctl3/6FilterungnachSystemStartsistnützlich,umz.B.ProblemenachdemerstenRebootinfolgeeinesUpdateszufinden
Beispiel:
journalctl--list-boot
journalctl-b42
![Page 12: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/12.jpg)
Loganalysemitjournalctl4/6FilterungbasierendaufeinemZeitintervallsindnützlich,umProbleme,dieineinembestimmtenZeitraumpassiertsind,zuanalysieren
Beispiele:
journalctl--since"2014-06-309:17:16"
journalctl--since"now"
journalctl--since"today"--until"11:00"
![Page 13: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/13.jpg)
Loganalysemitjournalctl5/6Zeitangaben,sieheman7system.time
Annahme,aktuelleZeit:2016-08-2318:15:22
"11:00"2016-08-2311:12:00
"now"2016-08-2318:15:22
"+3h30min"2016-08-2321:45:22
![Page 14: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/14.jpg)
Loganalysemitjournalctl6/6FilterungnacheinemspezifischenLogFeldistnützlich,umz.B.ProblemeeinesspezifischenProzesses,einesspezifischenBenutzers,etc.zufinden
man7systemd.journal-fields
Beispiele:
journalctl_PID=507--since"today"
journalctl_UID=1000
journalctl_SYSTEMD_UNIT=httpd.service
![Page 15: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/15.jpg)
LimitierungLogGrösseParameterinjournal.conf
[System|Runtime]MaxUse
[System|Runtime]MaxFileSize
[System|Runtime]MaxFiles
System=onDisk(persistent)Files
Runtime=inMemoryFiles
man5journald.conf
![Page 16: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/16.jpg)
LimitierungLogGrösse2/4[System|Runtime]MaxUsedefiniert,wievielPlatzdasjournalmaximalbelegendarf
Defaultist10%derPartitionsgrösseaufwelcherdasJournalliegt
DieserWertbeinhaltetallejournalFiles(auchrotierte)
![Page 17: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/17.jpg)
LimitierungLogGrösse3/4[System|Runtime]MaxFileSizedefiniert,wiegrossindividuelleJournalFileswerdendürfen
Defaultist1/8derGrössevon[System|Runtime]MaxUsedamitsiebenRotationenmöglichsind
![Page 18: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/18.jpg)
LimitierungLogGrösse4/4[System|Runtime]MaxFilesdefiniert,wievieleindividuelleJournalFilesmaximalaufbewahrtwerden
Deafultist100
![Page 19: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/19.jpg)
Attribution/LicenseSlidesAdfinisSyGroupAG,2016,Attrivution-NonCommercial2.0(CCBY_NC2.0)
![Page 20: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/20.jpg)
FeelFreetoContactUswww.adfinis-sygroup.ch
TechBlog
GitHub
![Page 21: Be smart. Think open source. - docs.adfinis-sygroup.ch fileModul "journald" [SSA 1002] systemd-journald Daemon Dienst der von systemd verwaltet wird Sammelt alle Logs an einer zentralen](https://reader042.documents.pub/reader042/viewer/2022041203/5d516bda88c9939c6d8b903e/html5/page/21.jpg)
