Home Linux Cómo analizar los logs del sistema en Linux con journalctl

Cómo analizar los logs del sistema en Linux con journalctl

0
189

Hoy vamos a ver una herramienta muy interesante para poder hacer un chequeo de la salud de nuestro sistema Linux, y es valernos del análisis de los logs, que todo sysadmin debe conocer, y para lograr hacer esto de forma simple te muestro el comando journalctl con varios ejemplos, seguro alguno te llevas y también podes compartir los que vos usas.

Ejemplo 1: Saber la versión

journalctl --version
[root@rhel8 ~]# journalctl --version
systemd 239 (239-41.el8_3.1)
+PAM +AUDIT +SELINUX +IMA -APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS +KMOD +IDN2 -IDN +PCRE2 default-hierarchy=legacy
[root@rhel8 ~]#

Ejemplo 2: Ver logs en tiempo real

Si lanzamos el comando directamente en la terminal nos dará una lista grande, pero vamos a aplicarle filtros y parámetros. Para ver lo que pasa en tiempo real hacemos el comando -f

journalctl -f

Ejemplo 3: Ver logs del kernel

journalctl -k

Ejemplo 4: Ver logs del boot actual

journalctl -b

Ejemplo 5: Ver logs más recientes

journalctl -r

Ejemplo 6: Ver logs de un servicio determinado con «-u Servicio»

journalctl -u sshd.service

También podemos combinar, veamos el log del servicio sshd en tiempo real

journalctl -f -u sshd.service

Ejemplo 7: Ver una cantidad n de registros, si hacemos -n nos muestra los últimos 10

journalctl -n

Pero también podemos especificar que muestre por ejemplo 30 registros

journalctl -n 30

Ejemplo 8: Ver el log de un PID específico

journalctl _PID=3475

Ejemplo 9: Ver el log de un usuario específico (UID)

journalctl _UID=1000

Ejemplo 10: Ver el log de un programa en particular, ejemplo vmtoolsd

journalctl _COMM=vmtoolsd

O combinar el comando con grep

journalctl | grep vmtoolsd

Ejemplo 11: Ver logs por fecha y hora

Ver los logs desde el día de ayer hasta hoy a las 10:00 horas.

journalctl --since 'yesterday' --until '10:00'

Ver logs de los últimos 30 minutos:

journalctl --since '30 min ago'

Ver registros desde hoy

journalctl --since today

Ver registros desde ayer a hoy

journalctl --since yesterday --until now

En un rango de fechas específico

journalctl --since='2021-04-01 00:01' --until='2021-04-07 00:01'

Podemos ver los logs de un servicio en particular entre fechas

journalctl -u sshd.service --since='2021-04-01 00:01' --until='2021-04-07 00:01'

Ejemplo 12: Ver logs por prioridad que le asigna el sistema.

Los mensajes se clasifican en función de la prioridad y tienen 7 niveles diferentes: «emerg» (0),»alert» (1), «crit» (2), «err» (3), «warning» (4), «notice» (5),»info» (6), y  «debug» (7)

journalctl -p  1

Ejemplo 13: Ver log de los discos rígidos

journalctl /dev/sda

Ver el espacio que están ocupando los diferentes logs

journalctl --disk-usage

En el caso de que ese valor fuera muy grande lo podemos limitar en el archivo /etc/systemd/journald.conf.

Ejemplo 14: Enviar resultado a un archivo

journalctl -f -u sshd.service > resultado.txt

Ejemplo 15: Ver los registros de inicio con identificadores numéricos

journalctl --list-boots

NO COMMENTS

Deja un comentario

A %d blogueros les gusta esto: