Linux journalctl cheat sheet

Mit systemd kommt auch journald welcher das Logging übernimmt. Natürlich lassen sich auch weiterhin normale Log-Dateien nutzen, allerdings bietet journalctl einige interessante Optionen, mit denen man sich die Arbeit mit Logdateien deutlich erleichtern kann. Das folgende Cheat-Sheet stellt die wichtigsten Optionen vor:

Log anzeigen

journalctl -le
Zeigt das gesamte Log ohne Breitenbeschränkung (-l) an und scroll automatisch ans Ende (-e).

journalctl -lf
Zeigt das Ende des Logs an und verfolgt wietere Logeinträge mit tail (-f). Diese Option kann natürlich mit allen Filteroptionen kombiniert werden.

journalctl -le -t systemd
Zeigt alle Logzeilen an, welche das Syslog-Tag (-t) systemd haben.

journalctl -le -u sshd
Zeigt alle Logzeilen der systemd-Unit (-u) sshd an. Hier können auch Wildcards verwendet werden. Diese sollten, um die Shell am expandieren zu hindern, in Hochkommas gesetzt werden.

journalctl -le -p warning
Filtert die Einträge des Logs nach Priorität (-p). Wird nur ein Wert angegeben, werden alle Meldungen angezeigt, die mindestens die angegebene Priorität haben. Es kann auch ein Bereich von Meldungen angegeben werden (siehe nächster Absatz). Die möglichen Prioritäten sind: emerg, alert, crit, err, warning, notice, info, debug

journalctl -le -p warning..err
Zeigt alle Logeinträge mit einer Prirotät zwischen warning und err an.

journalctl -le -S 08:00
Zeigt alle Logeinträge seit (S) 08:00 Uhr an. Es können auch Sekunden oder ein ein Datum (in Anführungszeichen) angegeben werden. Z. B.: “2016-01-01 08:00:00”

Kernellog anzeigen

Das Kernellog (dmesg) wird über die Option -k angzeigt.

journalctl -lke
Zeigt das Kernellog (-k) ohne Breitenbeschränkung (-l) an und scroll automatisch ans Ende (-e).

journalctl -lkf
Zeigt das Ende des Kernellog an und verfolgt weitere Logeinträge mit tail (-f).

Allgemeine Maintainance

journalctl --disk-usage
Zeigt die Festplattennutzung durch Journalctl an.

journalctl --vacuum-size=100M
Entfernt Logeinträge bis die Größe des Journals kleiner ist als 100 Mibibyte.

Logdateien von vergangenen Reboots

Journalctl zeigt normalerweise nur das Log nach aktuellen Reboots an.

journalctl --list-boots
Um die Reboots anzuzeigen für welche Logsdateien vorliegen.

-2 ed874d1befcd4d85b863ea51841567f3 Di 2016-08-30 21:05:50 CEST—Di 2016-08-30 21:06:40 CEST
-1 9c4748c5ad784f17a56493d2c6c98170 Mi 2016-08-31 21:21:28 CEST—Mi 2016-08-31 22:04:18 CEST
 0 7b219a0516e848efb3a81958a5e48349 Do 2016-09-01 20:33:59 CEST—Do 2016-09-01 21:11:33 CEST

journalctl -b -1
journalctl -b 9c4748c5ad784f17a56493d2c6c98170
Zeigt das Log des vorhergehenden (-1) Reboots an. Es kann auch die ID (zweite Spalte) des Reboots angegeben werden.