Comment afficher et analyser les journaux sur Linux avec journalctl

Les messages de journal sont importants pour l’audit et la maintenance d’un système Linux sain. Chaque ordinateur Linux stocke des messages de journal pour différents services ou travaux. Ce guide explorera comment lire et analyser les messages de journal à l’aide de journalctl un outil de ligne de commande pour lire les messages de journal écrits par journald .

Qu’est-ce que journald ?

Journald est un service de journalisation système qui regroupe les messages de journal dans un journal. C’est une partie du démon systemd qui est responsable de la journalisation des événements sous Linux. Le journal est simplement un fichier binaire utilisé pour stocker les messages de journal générés par journald.

Les messages du journal du journal ne sont pas persistants, car ils sont stockés dans la RAM, qui est une forme de stockage volatile. Par défaut, les journaux journald sont perdus ou effacés chaque fois que votre PC redémarre ou perd de l’alimentation. Linux alloue une quantité fixe de RAM aux journaux journalisés pour éviter d’encombrer la mémoire de votre système.

Comment utiliser la commande journalctl

Vous pouvez utiliser journalctl pour interroger le journal systemd ou les journaux journald. Le système indexe tous les journaux journald pour améliorer l’efficacité lors de la lecture des messages de journal à partir du journal.

Voir aussi :  Comment cacher des secrets avec Steghide : Un guide de stéganographie sous Linux

Noter : Ce guide utilise sudo pour exécuter des commandes à l’aide de privilèges élevés, car la commande journalctl ne répertorie pas tous les messages de journal lorsque vous l’exécutez en tant qu’utilisateur Linux standard.

Afficher tous les messages du journal

Pour afficher tous les journaux journald, exécutez simplement la commande journalctl sans aucun argument :

La commande journalctl listera tous les journaux journalisés de votre système par ordre chronologique. La commande utilise moins en arrière-plan, ce qui vous donne la même capacité de navigation que vous auriez généralement avec la commande less. Par exemple, vous pouvez parcourir les journaux à l’aide de la F et B touches de votre clavier.

Si vous souhaitez modifier l’ordre dans lequel le système génère les journaux, c’est-à-dire afficher le plus récent en premier, vous pouvez utiliser la -r drapeau avec la commande. le -r le drapeau représente Sens inverse .

Afficher les journaux des journaux du noyau

Les journaux du noyau sont très importants sous Linux car ils contiennent des informations relatives à votre système à partir du moment où il démarre. Pour afficher uniquement les journaux du noyau, spécifiez le -k flag avec la commande journalctl :

La sortie répertorie également certaines informations sur le noyau, telles que la version du noyau et son nom.

Voir aussi :  5 façons simples de vérifier les ports ouverts sous Linux

Filtrer les journaux journalisés par un programme spécifique

Vous pouvez également afficher les journaux liés à un programme ou à un service spécifique à l’aide de journalctl. Par exemple, pour afficher les journaux associés au cron service, exécutez la commande ci-dessous :

Afficher les messages du journal en temps réel

Parfois, vous souhaiterez peut-être afficher les journaux en temps réel au fur et à mesure de leur journalisation. Pour cela, lancez la commande suivante :

Utilisez le Ctrl + C raccourci clavier pour quitter la vue en temps réel.

Obtenir les messages du journal par date

Vous pouvez utiliser journalctl pour filtrer et analyser les journaux à l’aide d’un horodatage. Par exemple, pour afficher les journaux d’hier à aujourd’hui :

Vous pouvez être plus précis en utilisant un horodatage détaillé « depuis » et « jusqu’à », comme suit :

Journalctl n’affichera que les messages du journal pour la période spécifiée.

Afficher les messages du journal par UID ou PID

Vous pouvez également filtrer les journaux journalisés à l’aide de l’ID utilisateur (UID) ou de l’ID de processus (PID). La syntaxe de base est :

… où 0 est l’UID du compte root. Vous pouvez également remplacer UID dans la commande susmentionnée par PID ou GID (ID de groupe).

Voir aussi :  Les 9 meilleures distributions basées sur KDE pour les utilisateurs Avid Linux

Formatage de la sortie journalctl

Pour afficher les journaux journalctl à l’aide d’un format de sortie spécifique, vous devez utiliser le journalctl -o commande suivie de votre format préféré. Par exemple, pour afficher les journaux dans un joli format JSON, exécutez la commande ci-dessous :

Sortir:

sortie du journal journald au format json

Configuration de journald sous Linux

Ce guide vous a montré comment afficher et analyser les messages de journal journald sous Linux à l’aide de la commande journalctl. le /var/journal/journal répertoire stocke tous les journaux journald. Notez que toutes les distributions Linux n’ont pas activé journald par défaut.

Vous pouvez utiliser le /etc/systemd/journald.conf fichier pour configurer ou apporter des modifications à la configuration journald sur votre PC. Outre un service de journalisation efficace, plusieurs autres outils sont indispensables si vous êtes sérieux au sujet de la sécurité de vos serveurs Linux.

Cliquez pour évaluer cet article !
[Total: Moyenne : ]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *