Cómo usar journalctl para analizar registros en Linux

Systemd es el administrador del sistema predeterminado en todos los principales sistemas operativos basados ​​en Linux. Proporciona un demonio journald que maneja todos los mensajes producidos por el kernel y los servicios del sistema. El demonio journald recopila datos de todas las fuentes disponibles y los almacena en formato binario para una manipulación fácil y dinámica. Systemd proporciona una herramienta de línea de comandos llamada journalctl que se puede usar para leer y analizar registros de diario. journalctl le permite analizar y monitorear los registros en tiempo real.

En esta guía, le mostraremos cómo usar journalctl para analizar registros en Linux.

Requisitos

• Un nuevo servidor Ubuntu 20.04 en Atlantic.Net Cloud Platform
• Una contraseña de root configurada en su servidor

Crear servidor en la nube de Atlantic.Net

Primero, inicie sesión en su servidor en la nube de Atlantic.Net. Cree un nuevo servidor, eligiendo Ubuntu 20.04 como sistema operativo con al menos 2 GB de RAM. Conéctese a su servidor en la nube a través de SSH e inicie sesión con las credenciales resaltadas en la parte superior de la página.

Una vez que haya iniciado sesión en su servidor Ubuntu 20.04, ejecute el siguiente comando para actualizar su sistema base con los últimos paquetes disponibles.

apt-get update -y

Configurar diario

Primero, cree un directorio para almacenar el registro del Diario:

mkdir /var/log/journal

A continuación, establezca la propiedad adecuada con el siguiente comando:

chown -R root:systemd-journal /var/log/journal

A continuación, edite el archivo de configuración predeterminado de journald /etc/systemd/journald.conf y defina su nuevo directorio:

nano /etc/systemd/journald.conf

Cambie la siguiente línea:

Almacenamiento=persistente

Guarde y cierre el archivo, luego reinicie el servicio systemd-journald para aplicar los cambios:

systemctl reiniciar systemd-journald

Ahora puede consultar el directorio /var/log/journal:

ls -l /var/log/diario

Debería ver el siguiente resultado:

drwxr-xr-x 2 root systemd-journal 4096 21 de abril 11:35 97bcb1f0d9aa4b339adefc87f1332d04

Usar journalctl para analizar el registro

Para imprimir todos los registros recopilados por el demonio journald, ejecute el comando journalctl:

diarioctl

Salida:

-- Los registros comienzan el miércoles 21 de abril de 2021 a las 07:00:15 UTC y finalizan el miércoles 21 de abril de 2021 a las 11:40:12 UTC. --21 de abril 07:00:15 kernel ubuntu2004:Linux versión 4.19.0-9-amd64 ([email protected]) (gcc versión 8.3.0 (Debian 8.3.0-6)) #1 SMP Debian 4.19.118 -2+deb10u1 (2020-06-07) 21 de abril 07:00:15 kernel de ubuntu2004:línea de comando:BOOT_IMAGE=/boot/vmlinuz-4.19.0-9-amd64 root=UUID=d4f8c3a8-164f-4e15-a198- 6124ce8719b5 roApr 21 07:00:15 ubuntu2004 kernel:x86/fpu:x87 FPU usará FXSAVEApr 21 07:00:15 ubuntu2004 kernel:mapa de RAM físico proporcionado por BIOS:21 de abril 07:00:15 ubuntu2004 kernel:BIOS-e820:[mem 0x0000000000000000-0x000000000009fbff] usableApr 21 07:00:15 ubuntu2004 kernel:BIOS-e820:[mem 0x000000000009fc00-0x000000000009ffff] reservedApr 21 07:00:15 ubuntu2004 kernel:BIOS-e820:[mem 0x00000000000f0000-0x00000000000fffff] reservedApr 21 07:00:15 Ubuntu2004 Kernel:Bios-E820:[MEM 0x000000000000100000-0X00000000007FFDBFFF] USABLEAPR 21 07:00:15 UBUNTU2004 KERNEL:BIOS-E820:[MEM 0X0000007FFDCC000-0X0000000000007FFFFF] [mem 0x00000000feffc00 0-0x00000000feffffff] reservado 21 de abril 07:00:15 ubuntu2004 kernel:BIOS-e820:[mem 0x00000000ffffc0000-0x00000000ffffffff] reservado 21 de abril 07:00:15 ubuntu2004 kernel:NX (ejecutar desactivada) protección:activa 

 Si necesita una salida más detallada, ejecute el siguiente comando: 
 
journalctl -o detallado
 

 Salida:
 
-- Los registros comienzan el miércoles 21 de abril de 2021 a las 07:00:15 UTC y finalizan el miércoles 21 de abril de 2021 a las 11:40:29 UTC. --Wed 2021-04-21 07:00:15.461318 UTC [s=1baac74dce14445f9a6670f231104955;i=1;b=41c491f449fa44c288474cf9f14386c0;m=1ee776;t=5c0761d6627c6;x=4c88a9 _SOURCE_MONOTONIC_TIMESTAMP=0 _TRANSPORT=kernel PRIORITY=5 SYSLOG_FACILITY=0 SYSLOG_IDENTIFIER=kernel MESSAGE=Linux versión 4.19.0-9-amd64 ([email protected]) (gcc versión 8.3.0 (Debian 8.3.0-6)) #1 SMP Debian 4.19.118-2+deb10u1 _BOOT_ID=41c491f449fa44c288474cf9c01438 _MACHINE_ID=97bcb1f0d9aa4b339adefc87f1332d04 _HOSTNAME=ubuntu2004Wed 2021-04-21 07:00:15.461357 UTC [s=1baac74dce14445f9a6670f231104955;i=2;b=41c491f449fa44c288474cf9f14386c0;m=1ee79e;t=5c0761d6627ed;x=eaf7df _SOURCE_MONOTONIC_TIMESTAMP=0 _TRANSPORT=kernel SYSLOG_FACILITY=0 SYSLOG_IDENTIFIER=kernel _BOOT_ID=41c491f449fa44c288474cf9f14386c0 _MACHINE_ID=97bcb1f0d9aa4b339adefc87f1332d04 _HOSTNAME=ubuntu2004 PRIORITY=6 MESSAGE=Command line:BOOT_IMAGE=/boot/vmlinuz-4.19.0-9-amd64 root=UUID=d4f8c3a8-164f-4e15-a198-6124ce8 719b5 ro
 

 Para obtener una lista de todos los registros de arranque disponibles, ejecute el siguiente comando: 
 
journalctl --list-boots
 

 Salida:
 
 0 41c491f449fa44c288474cf9f14386c0 mié 2021-04-21 07:00:15 UTC—mié 2021-04-21 11:41:44 UTC
 

 Para mostrar todos los registros desde el reinicio más reciente, ejecute el siguiente comando: 
 
diarioctl -b
 

 Para mostrar las entradas de registro más recientes, ejecute el siguiente comando: 
 
diarioctl --líneas 5
 

 Salida:
 
-- Los registros comienzan el miércoles 21/04/2021 a las 07:00:15 UTC y terminan el miércoles 21/04/2021 a las 11:45:13 UTC. --21 de abril 11:45:06 ubuntu2004 sshd[12088]:contraseña fallida para usuario no válido telecomadmin del puerto 64471 ssh2 21 de abril 11:45:08 ubuntu2004 sshd[12088]:conexión cerrada por usuario no válido telecomadmin puerto 103.41.20 64471 [autorización previa] 21 de abril 11:45:13 ubuntu2004 sshd [12092]:administrador de usuario no válido del puerto 81.70.161.162 60614 21 de abril 11:45:13 ubuntu2004 sshd [12092]:pam_unix (sshd:auth):pase de verificación; usuario desconocido 21 de abril 11:45:13 ubuntu2004 sshd[12092]:pam_unix(sshd:auth):error de autenticación; nombre de registro =uid =0 euid =0 tty =ssh ruser =rhost =81.70.161.162
 

 Para imprimir el registro de forma continua, ejecute el siguiente comando: 
 
journalctl --seguir
 

 Salida:
 
-- Los registros comienzan el miércoles 21/04/2021 a las 07:00:15 UTC. --21 de abril 11:45:36 ubuntu2004 sshd[12106]:Desconectado del usuario no válido babi 104.131.102.169 puerto 54872 [autorización previa] 21 de abril 11:45:40 ubuntu2004 sshd[12108]:Usuario no válido telecomadmin del puerto 103.101412Apr 21 11:45:40 ubuntu2004 sshd[12108]:pam_unix(sshd:auth):pase de verificación; usuario desconocido 21 de abril 11:45:40 ubuntu2004 sshd[12108]:pam_unix(sshd:auth):error de autenticación; logname=uid=0 euid=0 tty=ssh ruser=rhost=103.108.241.111 21 de abril 11:45:41 ubuntu2004 sshd[12110]:pam_unix(sshd:auth):error de autenticación; logname=uid=0 euid=0 tty=ssh ruser=rhost=101.32.11.137 user=rootAbr 21 11:45:42 ubuntu2004 sshd[12108]:Error de contraseña para usuario no válido telecomadmin de 103.108.241.111 puerto 60842 ssh2Abr 21 11:45 :43 ubuntu2004 sshd[12108]:conexión cerrada por un usuario no válido telecomadmin 103.108.241.111 puerto 60842 [autorización previa] 21 de abril 11:45:43 ubuntu2004 sshd[12110]:contraseña fallida para root desde 101.32.11.137 puerto 43081r 4sh12 :45 ubuntu2004 sshd[12110]:Desconexión recibida del puerto 101.32.11.137 43086:11:Adiós [autorización previa]21 de abril 11:45:45 ubuntu2004 sshd[12110]:Desconexión de la autenticación del usuario raíz 101.32.11.137 [autorización previa] [puerto 43086] 
 

 Para mostrar registros relacionados con servicios específicos como SSH y Nginx, ejecute el siguiente comando: 
 
journalctl -u ssh.servicejournalctl -u nginx.service
 

 Para mostrar solo los registros relacionados con el kernel, ejecute el siguiente comando; 
 
diarioctl -k
 

 Para mostrar registros que contienen errores o críticos, ejecute el siguiente comando: 
 
journalctl -p err -b
 

 Salida:
 
-- Los registros comienzan el miércoles 21 de abril de 2021 a las 07:00:15 UTC y finalizan el miércoles 21 de abril de 2021 a las 11:49:21 UTC. --21 de abril 07:00:16 ubuntu2004 ntpd[337]:archivo de segundo intercalar ('/usr/share/zoneinfo/leap-seconds.list'):expiró hace menos de 115 días 21 de abril 07:00:16 ubuntu2004 ntpd[337 ]:bind(21) AF_INET6 fe80::200:2dff:fe3a:264e%2#123 flags 0x11 falló:no se puede asignar la dirección solicitada 21 de abril 07:00:16 ubuntu2004 ntpd[337]:no se pudo crear el socket en ens3 (5) para fe80::200:2dff:fe3a:264e%2#123
 

 Para mostrar todos los registros de ayer, ejecute el siguiente comando: 
 
journalctl --desde ayer
 

 Para mostrar todos los registros a partir de las 6:00 a. m. y hasta hace una hora, ejecute el siguiente comando: 
 
journalctl --desde las 06:00 --hasta "hace 1 hora"
 

 Para mostrar la cantidad de espacio utilizado por la revista, ejecute el siguiente comando: 
 
journalctl --disk-uso
 

 Salida:
 
Las revistas archivadas y activas ocupan 16 millones en el sistema de archivos.
 

 Si desea conservar todos los datos de los registros solo del último año, ejecute el siguiente comando: 
 
journalctl --vacuum-time=1años
 

 Para mostrar solo los últimos registros, ejecute el siguiente comando: 
 
diarioctl -xe
 
Conclusión
 

 En la guía anterior, aprendió a usar journalctl para leer y analizar diferentes registros del sistema. Ahora puede identificar o solucionar problemas relacionados con el sistema o la aplicación en su VPS desde Atlantic.Net.