Les logs avec journalctl

Les dernières version de Redhat et CentOS utilisent désormais systemd, qui dispose de son propre système de collecte de logs.

Journald est le composant de systemd qui à terme remplacera rsyslog. Il collecte les évènements et les consigne dans des journaux au format binaire, indexé, pour un accès plus rapide et plus efficace.

Vous pouvez désormais oublier les tail, les grep, t les vi ( si si je l’ai vu faire) et les interminables cat sur des fichiers de log de plusieurs Go, et remplacer tout ça par la commande journalctl

log

Sans paramètre cette commande affiche, de manière paginée, et en couleur tous les évènements depuis le début de la collecte. Des options permettent de modifier ce comportement:

  • journalctl -e aller directement à la fin du log (où se trouvent les évènements les plus récents)
  • journalctl -f affichage en continu ( équivalent de tail -f)
  • journalctl –unit sshd permet d’afficher uniquement les évènements relatifs à l’unité (le service) sshd
  • journalctl –since 2015-09-10 22:00:00 – affiche les événements antérieurs à la date donnée
  • journalctl –until 2015-09-10 22:30:00 – affiche les événements postérieurs à la date donnée
  • journalctl –user : affiche uniquement les logs de l’utilisateur courant.
  • journalctl –system : affiche également les logs noyau
  • journalct -b -p warning – affiche tous les évènements de priorité >= warning, depuis le dernier démarrage du système.
  • journalctl -x (utilisation d’un catalogue – pour l’instant assez pauvre – de message explicatifs associés aux évènements)

Malgré une syntaxe un peu verbeuse, journalctl représente à mon sens une avancée intéressante dans le domaine du traitement des logs

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *