21 journalctl
: Abfragen des systemd
-Journals #
systemd
umfasst ein eigenes Protokollierungssystem, das als Journal bezeichnet wird. Alle Systemereignisse werden in das Journal geschrieben, so dass Sie keinen syslog
-basierten Service ausführen müssen.
Das Journal selbst ist ein Systemservice und wird mit systemd
verwaltet. Die vollständige Bezeichnung des Service lautet systemd-journald.service
. Hier werden Protokolldaten in strukturierten, indizierten Journalen erfasst und gespeichert. Die Daten basieren dabei auf den Protokollinformationen aus dem Kernel, von den Benutzerprozessen, aus der Standardeingabe und aus den Fehlern von Systemdiensten. Der Dienst systemd-journald
ist standardmäßig aktiviert:
>
sudo
systemctl status systemd-journald systemd-journald.service - Journal Service Loaded: loaded (/usr/lib/systemd/system/systemd-journald.service; static) Active: active (running) since Mon 2014-05-26 08:36:59 EDT; 3 days ago Docs: man:systemd-journald.service(8) man:journald.conf(5) Main PID: 413 (systemd-journal) Status: "Processing requests..." CGroup: /system.slice/systemd-journald.service └─413 /usr/lib/systemd/systemd-journald [...]
21.1 Festlegen des Journals als permanent #
Das Journal speichert die Protokolldaten standardmäßig in /run/log/journal/
. Das Verzeichnis /run/
ist naturgemäß flüchtig, weshalb die Protokolldaten beim Neubooten verloren gehen. Um permanente Protokolldaten zu erzielen, muss das Verzeichnis /var/log/journal/
mit den entsprechenden Angaben zu Eigentümer und Berechtigungen vorhanden sein, damit der systemd-journald-Service die Daten dort speichern kann. So können Sie das Verzeichnis mit systemd
erstellen und die persistente Protokollierung aktivieren:
Öffnen Sie die Datei
/etc/systemd/journald.conf
alsroot
zum Bearbeiten.#
vi /etc/systemd/journald.confHeben Sie die Auskommentierung der Zeile auf, die mit
Storage=
beginnt, und ändern Sie sie wie folgt:[...] [Journal] Storage=persistent #Compress=yes [...]
Speichern Sie die Datei, und starten Sie systemd-journald neu:
#
systemctl restart systemd-journald
21.2 journalctl:
: Nützliche Schalter #
In diesem Abschnitt finden Sie einige häufig verwendete, nützliche Optionen, mit denen Sie das Standardverhalten von journalctl
optimieren. Alle Schalter sind auf der man-Seite zu journalctl
(man 1 journalctl
) beschrieben.
Sollen alle Journaleinträge für eine bestimmte ausführbare Datei angezeigt werden, geben Sie den vollständigen Pfad zu dieser Datei an:
>
sudo
journalctl /usr/lib/systemd/systemd
- -f
Zeigt lediglich die jüngsten Protokollmeldungen an und gibt neue Protokolleinträge aus, sobald sie zum Journal hinzugefügt werden.
Gibt die Meldungen aus und springt an das Ende des Journals, sodass im Pager die aktuellen Einträge sichtbar sind.
- -r
Gibt die Meldungen des Journals in umgekehrter Reihenfolge aus (die jüngsten Einträge zuerst).
- -k
Zeigt nur Kernel-Meldungen an. Dies entspricht der Feldzuordnung
_TRANSPORT=kernel
(siehe Abschnitt 21.3.3, „Filtern nach Feldern“).- -u
Zeigt nur Meldungen für die angegebene
systemd
-Einheit an. Dies entspricht der Feldzuordnung_SYSTEMD_UNIT=UNIT
(siehe Abschnitt 21.3.3, „Filtern nach Feldern“).>
sudo
journalctl -u apache2 [...] Jun 03 10:07:11 pinkiepie systemd[1]: Starting The Apache Webserver... Jun 03 10:07:12 pinkiepie systemd[1]: Started The Apache Webserver.
21.3 Filtern der Journalausgabe #
Wenn Sie journalctl
ohne Schalter aufrufen, wird der gesamte Inhalt des Journals angezeigt (die ältesten Einträge an erster Stelle). Die Ausgabe kann mit bestimmten Schaltern und Feldern gefiltert werden.
21.3.1 Filtern nach Bootnummer #
journalctl
kann die Meldungen nach einem bestimmten System-Bootvorgang filtern. Zum Anzeigen einer Liste mit allen verfügbaren Bootvorgängen führen Sie Folgendes aus:
>
sudo
journalctl --list-boots -1 097ed2cd99124a2391d2cffab1b566f0 Mon 2014-05-26 08:36:56 EDT—Fri 2014-05-30 05:33:44 EDT 0 156019a44a774a0bb0148a92df4af81b Fri 2014-05-30 05:34:09 EDT—Fri 2014-05-30 06:15:01 EDT
Die erste Spalte enthält den Boot-Offset: 0
für den aktuellen Boot, -1
für den vorherigen, -2
für den davor usw. Die zweite Spalte enthält die Boot-ID, gefolgt von den Zeitstempeln für den jeweiligen Boot.
Alle Meldungen für den aktuellen Bootvorgang anzeigen:
>
sudo
journalctl -b
Wenn Sie die Journalmeldungen für den vorangegangenen Bootvorgang abrufen möchten, hängen Sie einen Offset-Parameter an. Im folgenden Beispiel werden die Meldungen für den vorangegangenen Bootvorgang ausgegeben:
>
sudo
journalctl -b -1
Alternativ können Sie die Bootmeldungen nach der Boot-ID auflisten. Verwenden Sie hierzu das Feld _BOOT_ID:
>
sudo
journalctl _BOOT_ID=156019a44a774a0bb0148a92df4af81b
21.3.2 Filtern nach Zeitraum #
Sie können die Ausgabe von journalctl
durch Angabe des Start- oder Enddatums filtern. Für Datumsangaben gilt das Format „2014-06-30 9:17:16“. Wenn Sie keine Uhrzeit angeben, wird Mitternacht (0:00 Uhr) angenommen. Wenn die Sekundenangabe fehlt, wird „:00“ angenommen. Wenn Sie kein Datum angeben, wird das aktuelle Datum angenommen. Statt eines numerischen Ausdrucks können Sie die Schlüsselwörter „gestern“, „heute“ oder „morgen“ angeben. Diese Wörter bezeichnen Mitternacht am Tag vor dem aktuellen Tag, am aktuellen Tag bzw. am Tag nach dem aktuellen Tag. Das Schlüsselwort „now“ (jetzt) verweist auf die aktuelle Uhrzeit am heutigen Tag. Auch relative Zeitangaben mit dem Präfix -
oder +
sind möglich. Diese Zeitangaben verweisen dann entsprechend auf eine Uhrzeit vor oder nach der aktuellen Uhrzeit.
Nur neue Meldungen ab jetzt anzeigen und Ausgabe entsprechend aktualisieren:
>
sudo
journalctl --since "now" -f
Alle Meldungen ab der letzten Mitternacht bis 3:20 Uhr anzeigen:
>
sudo
journalctl --since "today" --until "3:20"
21.3.3 Filtern nach Feldern #
Sie können die Ausgabe des Journals nach bestimmten Feldern filtern. Die Syntax für ein abzugleichendes Feld lautet FELDNAME=FILTERKRITERIUM
, beispielsweise _SYSTEMD_UNIT=httpd.service
. Wenn Sie mehrere Filterkriterien in einer einzigen Abfrage angeben, werden die Ausgabemeldungen noch stärker gefiltert. Eine Liste der Standardfelder finden Sie auf der man-Seite man 7 systemd.journal-fields
.
Meldungen anzeigen, die von einer bestimmten Prozess-ID erzeugt wurden:
>
sudo
journalctl _PID=1039
Meldungen anzeigen, die zu einer bestimmten Benutzer-ID gehören:
# journalctl _UID=1000
Meldungen aus dem Kernel-Ring-Puffer anzeigen (entspricht der Ausgabe von dmesg
):
>
sudo
journalctl _TRANSPORT=kernel
Meldungen aus der Standard- oder Fehlerausgabe des Services anzeigen:
>
sudo
journalctl _TRANSPORT=stdout
Nur Meldungen anzeigen, die von einem bestimmten Service erzeugt wurden:
>
sudo
journalctl _SYSTEMD_UNIT=avahi-daemon.service
Wenn Sie zwei verschiedene Felder angeben, werden nur solche Einträge zurückgegeben, die beide Ausdrücke gleichzeitig erfüllen:
>
sudo
journalctl _SYSTEMD_UNIT=avahi-daemon.service _PID=1488
Wenn Sie zwei Kriterien für dasselbe Feld angeben, werden alle Einträge zurückgegeben, die einen dieser Ausdrücke erfüllen:
>
sudo
journalctl _SYSTEMD_UNIT=avahi-daemon.service _SYSTEMD_UNIT=dbus.service
Mit dem Begrenzungszeichen „+“ verbinden Sie zwei Ausdrücke mit einem logischen „OR“. Im folgenden Beispiel werden alle Meldungen aus dem Avahi-Service mit der Prozess-ID 1480 zusammen mit allen Meldungen vom D-Bus-Service gezeigt:
>
sudo
journalctl _SYSTEMD_UNIT=avahi-daemon.service _PID=1480 + _SYSTEMD_UNIT=dbus.service
21.4 Untersuchen von systemd
-Fehlern #
In diesem Abschnitt wird an einem einfachen Beispiel erläutert, wie Sie die Fehler auffinden und beheben, die systemd
beim Starten von apache2
meldet.
Versuchen Sie, den apache2-Service zu starten:
# systemctl start apache2 Job for apache2.service failed. See 'systemctl status apache2' and 'journalctl -xn' for details.
Prüfen Sie den Status dieses Service:
>
sudo
systemctl status apache2 apache2.service - The Apache Webserver Loaded: loaded (/usr/lib/systemd/system/apache2.service; disabled) Active: failed (Result: exit-code) since Tue 2014-06-03 11:08:13 CEST; 7min ago Process: 11026 ExecStop=/usr/sbin/start_apache2 -D SYSTEMD -DFOREGROUND \ -k graceful-stop (code=exited, status=1/FAILURE)Die ID des Prozesses, der den Fehler verursacht, lautet 11026.
Rufen Sie die ausführliche Version der Meldungen zur Prozess-ID 11026 ab:
>
sudo
journalctl -o verbose _PID=11026 [...] MESSAGE=AH00526: Syntax error on line 6 of /etc/apache2/default-server.conf: [...] MESSAGE=Invalid command 'DocumenttRoot', perhaps misspelled or defined by a module [...]Korrigieren Sie den Schreibfehler in
/etc/apache2/default-server.conf
, starten Sie den apache2-Service, und lassen Sie den Status ausgeben:>
sudo
systemctl start apache2 && systemctl status apache2 apache2.service - The Apache Webserver Loaded: loaded (/usr/lib/systemd/system/apache2.service; disabled) Active: active (running) since Tue 2014-06-03 11:26:24 CEST; 4ms ago Process: 11026 ExecStop=/usr/sbin/start_apache2 -D SYSTEMD -DFOREGROUND -k graceful-stop (code=exited, status=1/FAILURE) Main PID: 11263 (httpd2-prefork) Status: "Processing requests..." CGroup: /system.slice/apache2.service ├─11263 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...] ├─11280 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...] ├─11281 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...] ├─11282 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...] ├─11283 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...] └─11285 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
21.5 Konfiguration von journald #
Das Verhalten des systemd-journald-Service lässt sich in /etc/systemd/journald.conf
festlegen. In diesem Abschnitt werden lediglich die grundlegenden Optionseinstellungen vorgestellt. Eine vollständige Beschreibung der Datei finden Sie auf der man-Seite man 5 journald.conf
. Damit die Änderungen in Kraft treten, müssen Sie das Journal wie folgt neu starten:
>
sudo
systemctl restart systemd-journald
21.5.1 Ändern der Größenbeschränkung für das Journal #
Wenn die Journalprotokolldaten an einem persistenten Speicherort gespeichert werden (siehe Abschnitt 21.1, „Festlegen des Journals als permanent“), belegen sie bis zu 10 % des Dateisystems, auf dem sich /var/log/journal
befindet. Ist /var/log/journal
beispielsweise auf einer /var
-Partition mit einer Kapazität von 30 GB gespeichert, so kann das Journal bis zu 3 GB des Festplattenspeichers belegen. Zum Bearbeiten dieser Größenbeschränkung ändern Sie die Option SystemMaxUse
(und heben Sie die Auskommentierung dieser Option auf):
SystemMaxUse=50M
21.5.2 Weiterleiten des Journals an /dev/ttyX
#
Sie können das Journal an ein Terminalgerät weiterleiten, sodass Sie an einem bevorzugten Terminalbildschirm (beispielsweise /dev/tty12
) über Systemmeldungen informiert werden. Ändern Sie die folgenden journald-Optionen:
ForwardToConsole=yes TTYPath=/dev/tty12
21.5.3 Weiterleiten des Journals an die Syslog-Funktion #
journald ist abwärtskompatibel zu herkömmlichen syslog-Implementierungen wie rsyslog
. Prüfen Sie Folgendes:
rsyslog ist installiert.
>
sudo
rpm -q rsyslog rsyslog-7.4.8-2.16.x86_64Der rsyslog-Service ist aktiviert.
>
sudo
systemctl is-enabled rsyslog enabledDie Weiterleitung an syslog wird in
/etc/systemd/journald.conf
aktiviert.ForwardToSyslog=yes
21.6 Filtern des systemd
-Journals mit YaST #
Mit dem YaST-Journalmodul filtern Sie das systemd-Journal schnell und einfach (ohne die journalctl-Syntax verwenden zu müssen). Installieren Sie das Modul mit sudo zypper in yast2-journal
und starten Sie es dann in YaST mit › . Alternativ starten Sie das Modul von der Befehlszeile aus mit dem Befehl sudo yast2 journal
.
Das Modul zeigt die Protokolleinträge in einer Tabelle. Im Suchfeld oben suchen Sie nach Einträgen, die bestimmte Zeichen enthalten, ähnlich wie mit grep
. Zum Filtern der Einträge nach Datum/Uhrzeit, Einheit, Datei oder Priorität klicken Sie auf (Filter ändern) und legen Sie die jeweiligen Optionen fest.
21.7 Abrufen von Protokollen in GNOME #
Sie können das Journal mit den GNOME-Protokollen abrufen. Starten Sie dieses Kommando über das Anwendungsmenü. Zum Abrufen von Systemprotokollmeldungen muss dieses Kommando als root ausgeführt werden, beispielsweise mit xdg-su gnome-logs
. Dieses Kommando kann mit Alt–F2 ausgeführt werden.