journalctl - Verwendung, Hintergrundfragen, Eure Methoden

[ServerSide]

Hallo.

Ich habe mich heut ein wenig mit dem Thema "journalctl" befasst und habe ein paar Fragen:

1. Wie funktioniert journalctl genau? Senden alle systemd Dienste automatisch Ihre Logs an systemd/journalctl oder teilen diese Dienste einfach nur systemd mit wo Ihre jeweiligen Logs liegen und das wird dann von systemd/journalctl selbst geholt und verwaltet?

2. Mit der Zeit kommen da ja enorme Datenmengen zusammen. Kann man denn eine Liste mit bestehenden Logs ausgeben? Am Besten mit Größenangaben. Mein Debian8 hat kein /var/log/journal

3. Thema logrotate. Geht bei journalctl ja ohne Probleme. Mich würden aber Eure Erfahrungswerte interessieren. Welche Logs haltet Ihr wie lange vor?

Vielen Dank schonmal!

 

[storvi]

journald loggt sämtliche Kernel-Nachrichten, alle Syscalls auf syslog, stdin/stdout über verwaltete Dienste, sowie Nachrichten über die eigene Api.

In der Regel ist das Logging nicht persistent (/run/log/jounal), wird binär gespeichert und ermöglicht so ganz andere Bearbeitung als traditionelle Kommandos.

Wenn du es persistent haben möchtest, musst du in der journal.conf die "Storage"-Option entsprechend konfigurieren. Wenn diese auf auto steht und das Verzeichnis /var/log/journal existiert wird geloggt - ansonsten heißt der Parameter persistent.

Besondere Vorlieben hinsichtlich vorhalten von Logs hab ich jetzt nicht.

Manpages:
- journald.conf
- systemd-journald

Gruß
Markus