Hallo zusammen, und für alle, die ohne großen Aufwand einfach die Dateien wie früher "vor Ort" haben wollen und sie gerne sehen -> syslog-ng installieren. Journalctl ist nett und mächtig - bietet allerdings nach allem was ich bisher gesehen habe keine Vorteile gegenüber "offensichtlichen" Dateien in /var/log, die sich einfach durchsuchen und ggf. sogar bearbeiten lassen. Dafür darf man sich durch eine komplexe man - page durcharbeiten, die aufzeigt, was alles geht ... und wenn man nicht weiß, nach was man sucht, ist man mit dem Programm im Vergleich zu "offensichtlichem" schlicht verloren. Aber manchmal scheinen Dinge neu gemacht werden zu müssen, damit sie neu gemacht sind, weil neu per se erstmal besser ist ... My two cents, Grüße Dieter Jurzitza -- ----------------------------------------------------------- | \ /\_/\ | | ~x~ |/-----\ / \ /- \_/ ^^__ _ / _ ____ / <°°__ \- \_/ | |/ | | || || _| _| _| _| if you really want to see the pictures above - use some font with constant spacing like courier! :-) ----------------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sonntag, 6. Dezember 2015, 17:57:24 schrieb Dr.-Ing. Dieter Jurzitza:
Hallo zusammen, und für alle, die ohne großen Aufwand einfach die Dateien wie früher "vor Ort" haben wollen und sie gerne sehen -> syslog-ng installieren. Journalctl ist nett und mächtig - bietet allerdings nach allem was ich bisher gesehen habe keine Vorteile gegenüber "offensichtlichen" Dateien in /var/log, die sich einfach durchsuchen und ggf. sogar bearbeiten lassen. Dafür darf man sich durch eine komplexe man - page durcharbeiten, die aufzeigt, was alles geht ... und wenn man nicht weiß, nach was man sucht, ist man mit dem Programm im Vergleich zu "offensichtlichem" schlicht verloren. Aber manchmal scheinen Dinge neu gemacht werden zu müssen, damit sie neu gemacht sind, weil neu per se erstmal besser ist ... My two cents, Grüße
Zeige mir mal wie du "journalctl --since '2015-12-05 09:30:00' --until '2015-12-06 01:00:00' -p err _SYSTEMD_UNIT=apache2.service" mit grep und /var/log/messages machst. MY two cents. Cheers Mathias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sonntag 06 Dezember 2015 schrieb Mathias Homann:
Am Sonntag, 6. Dezember 2015, 17:57:24 schrieb Dr.-Ing. Dieter Jurzitza:
und für alle, die ohne großen Aufwand einfach die Dateien wie früher "vor Ort" haben wollen und sie gerne sehen -> syslog-ng installieren.
[...]
Zeige mir mal wie du "journalctl --since '2015-12-05 09:30:00' --until '2015-12-06 01:00:00' -p err _SYSTEMD_UNIT=apache2.service" mit grep und /var/log/messages machst.
Den letzten Schalter hätte ich mir mittels gucken in /var/log/apache2 schon mal vom Hals geschafft ;). Wenn wir schon so schön bei journalctl sind... Verwirft der alte Logs? Ewig kann der das Zeug ja auch nicht im Speicher halten. Warum frage ich? Manchmal ist es nützlich, einfach mal zu gucken, wie ein Rechner sich vor einem Monat oder einem Jahr verhalten hat und ob dieses Log mit dem aktuellen Log so ungefähr übereinstimmt. Ich hab's nämlich schon erlebt, dass ein - Anfänger! - Hacker mir Löcher ins Log geschnipselt hat. Wäre ich nicht auf die Idee gekommen, dass mit der Kiste was ist, und hätte ich da nicht einfach das Logfile mit banalem less geöffnet und überflogen, was da drin steht bzw. nicht steht, hätte ich auch den unerwünschten Besucher und sein Treiben nicht entdeckt. Wie handhabt journalctl sowas? OK, es ist vermutlich schwerer, Löcher in sein Log zu machen, aber wenn er es verwirft, sehe ich meinen Besucher auch nicht. Andersrum: Wie finde ich Abweichungen in der normalen Statistik? (logwatch kenne ich; ich meine, es arbeitet sogar mit systemd zusammen. Fährt man die alte Variante Logging kann man jedenfalls recht gut vergleichen - zumindest bei einigermaßen übersichtlichen Logs. Ich rede nicht von Rechenzentrumsanwendung). Helga -- ## Technik: [http://de.opensuse.org] ## Privat: [http://www.eschkitai.de] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mon, 7 Dec 2015 12:08:09 +0100
schrieb Helga Fischer
Am Sonntag 06 Dezember 2015 schrieb Mathias Homann:
Am Sonntag, 6. Dezember 2015, 17:57:24 schrieb Dr.-Ing. Dieter Jurzitza:
und für alle, die ohne großen Aufwand einfach die Dateien wie früher "vor Ort" haben wollen und sie gerne sehen -> syslog-ng installieren.
[...]
Zeige mir mal wie du "journalctl --since '2015-12-05 09:30:00' --until '2015-12-06 01:00:00' -p err _SYSTEMD_UNIT=apache2.service" mit grep und /var/log/messages machst.
Den letzten Schalter hätte ich mir mittels gucken in /var/log/apache2 schon mal vom Hals geschafft ;).
Wenn wir schon so schön bei journalctl sind... Verwirft der alte Logs? Ewig kann der das Zeug ja auch nicht im Speicher halten.
Warum frage ich? Manchmal ist es nützlich, einfach mal zu gucken, wie ein Rechner sich vor einem Monat oder einem Jahr verhalten hat und ob dieses Log mit dem aktuellen Log so ungefähr übereinstimmt.
Ich hab's nämlich schon erlebt, dass ein - Anfänger! - Hacker mir Löcher ins Log geschnipselt hat. Wäre ich nicht auf die Idee gekommen, dass mit der Kiste was ist, und hätte ich da nicht einfach das Logfile mit banalem less geöffnet und überflogen, was da drin steht bzw. nicht steht, hätte ich auch den unerwünschten Besucher und sein Treiben nicht entdeckt.
Wie handhabt journalctl sowas? OK, es ist vermutlich schwerer, Löcher in sein Log zu machen, aber wenn er es verwirft, sehe ich meinen Besucher auch nicht.
Ganz einfach, ich ignoriere journalctl. Ich habe mich seinerzeit über dieses Teil geärgert, es in die Kategorie eierlegende Wollmichsau eingeordnet und in die Rundablage verbannt. Einfach den syslog-ng installiert. Konfigurationsdateien restauriert und den syslog-ng Service angeschmissen. Ich hatte meine /var/log/messages usw. wieder. Genau erinnere ich nicht mehr, aber es kann sein, dass noch ein paar andere Services angepasst werden mussten. Ferdich! Die Log-Dateien werden regelmäßig mit gesichert, um auch nach langer Zeit Vorgänge nachvollziehen zu können. Frage: Kann es sein, dass ein paar W-doof-Entwickler demnächst /etc abschaffen werden und eine Registry einführen werden ;-)))))
Andersrum: Wie finde ich Abweichungen in der normalen Statistik? (logwatch kenne ich; ich meine, es arbeitet sogar mit systemd zusammen. Fährt man die alte Variante Logging kann man jedenfalls recht gut vergleichen - zumindest bei einigermaßen übersichtlichen Logs. Ich rede nicht von Rechenzentrumsanwendung).
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (4)
-
Dr.-Ing. Dieter Jurzitza
-
Heiner Kuhlmann
-
Helga Fischer
-
Mathias Homann