Comment afficher et analyser les journaux sur Linux avec journalctl

Les messages de journal sont importants pour l'audit et le maintien d'un système Linux sain. Chaque ordinateur Linux stocke les messages de journal pour différents services ou travaux. Ce guide explorera comment lire et analyser les messages de journal à l'aide de journalctl, un outil en ligne de commande pour lire les messages de journal écrits par journal.

Qu'est-ce que journald?

Journald est un service de journalisation système qui agrège les messages de journal dans un journal. Il fait partie du démon systemd qui est responsable de la journalisation des événements sous Linux. Le journal est simplement un fichier binaire utilisé pour stocker les messages de journal générés par journald.

Les messages du journal ne sont pas persistants, car ils sont stockés dans la RAM, qui est une forme volatile de stockage. Par défaut, les journaux journald sont perdus ou effacés chaque fois que votre PC redémarre ou perd de l'alimentation. Linux alloue une quantité fixe de RAM aux journaux journald pour éviter d'obstruer la mémoire de votre système.

Comment utiliser la commande journalctl

Vous pouvez utiliser journalctl pour interroger le journal systemd ou les journaux journald. Le système indexe tous les journaux journald pour améliorer l'efficacité lors de la lecture des messages de journal à partir du journal.

Noter: Ce guide utilise sudo pour exécuter des commandes en utilisant des privilèges élevés car la commande journalctl ne répertorie pas tous les messages de journal lorsque vous l'exécutez en tant qu'utilisateur Linux standard.

Afficher tous les messages du journal

Pour afficher tous les journaux journald, exécutez simplement la commande journalctl sans aucun argument:

sudo journalctl

La commande journalctl répertorie tous les journaux journald sur votre système par ordre chronologique. La commande utilise moins en arrière-plan, ce qui vous donne la même capacité de navigation que vous auriez généralement avec la commande moins. Par exemple, vous pouvez parcourir les journaux à l'aide de la F et B touches de votre clavier.

Si vous souhaitez modifier l'ordre dans lequel le système édite les journaux, c'est-à-dire afficher le plus récent en premier, vous pouvez utiliser le -r flag avec la commande. le -r le drapeau représente Sens inverse.

sudo journalctl -r

Afficher les journaux journald du noyau

Les journaux du noyau sont très importants sous Linux car ils contiennent des informations relatives à votre système à partir du moment où il démarre. Pour afficher uniquement les journaux du noyau, spécifiez le -k flag avec la commande journalctl:

sudo journalctl -k

La sortie répertoriera également certaines informations sur le noyau, telles que la version du noyau et son nom.

En rapport: Qu'est-ce qu'un noyau sous Linux et comment vérifier votre version ?

Filtrer les journaux par programme spécifique

Vous pouvez également afficher les journaux liés à un programme ou un service spécifique à l'aide de journalctl. Par exemple, pour afficher les journaux associés au cron service, exécutez la commande ci-dessous:

sudo journalctl -u cron

Afficher les messages de journal en temps réel

Parfois, vous souhaiterez peut-être afficher les journaux en temps réel au fur et à mesure qu'ils sont enregistrés. Pour cela, lancez la commande suivante:

sudo journalctl -f

Utilisez le Ctrl + C raccourci clavier pour quitter la vue en temps réel.

Obtenir les messages de journal par date

Vous pouvez utiliser journalctl pour filtrer et analyser les journaux à l'aide d'un horodatage. Par exemple, pour afficher les logs d'hier à aujourd'hui:

sudo journalctl --depuis=hier

Vous pouvez être plus précis en utilisant un horodatage détaillé "depuis" et "jusqu'au", comme suit:

sudo journalctl --since="2021-07-17 12:00:00" --until="2021-07-17 15:00:00"

Journalctl n'affichera que les messages du journal pour la période spécifiée.

Afficher les messages de journal par UID ou PID

Vous pouvez également filtrer les journaux journalisés à l'aide de l'ID utilisateur (UID) ou de l'ID de processus (PID). La syntaxe de base est:

sudo journalctl _UID=0

...où 0 est l'UID du compte root. Vous pouvez également remplacer l'UID dans la commande susmentionnée par PID ou GID (ID de groupe).

Formatage de la sortie journalctl

Pour afficher les journaux journalctl en utilisant un format de sortie spécifique, vous devez utiliser le journalctl -o commande suivie de votre format préféré. Par exemple, pour afficher les logs dans un joli format JSON, exécutez la commande ci-dessous:

sudo journalctl -o json-joli

Production:

En rapport: Premiers pas avec la journalisation système sous Linux

Configuration de journald sur Linux

Ce guide vous a montré comment afficher et analyser les messages de journal journald sur Linux à l'aide de la commande journalctl. le /var/log/journal répertoire stocke tous les journaux journald. Notez que journald n'est pas activé par défaut dans toutes les distributions Linux.

Vous pouvez utiliser le /etc/systemd/journald.conf pour configurer ou apporter des modifications à la configuration journald sur votre PC. Outre un service de journalisation efficace, il existe plusieurs autres outils indispensables si vous êtes sérieux au sujet de la sécurité de vos serveurs Linux.

6 outils open source indispensables pour sécuriser votre serveur Linux

Vous ne voulez pas faire de compromis sur la sécurité de votre serveur Linux? Installez ces six outils pour mettre en place un réseau impénétrable.

Lire la suite

A propos de l'auteur

Développer pour lire l'histoire complète