Re: binaeres Journal versus textuelle Logdateien
Christian Knoke <chrisk@cknoke.de> wrote:
> Uwe Kleine-König schrieb am 16. Aug um 09:47 Uhr:
>>> Ich kenne viele Menschen, die textuelle Log-Dateien als deutlich
>>> zugänglicher und damit für sie persönlich subjektiv als "Besser"
>>> empfinden.
>> meine Subjektivität sagt:
>>
>> + binäre Logs sind kleiner
>> - Zugang zu den Logs ist anders als "früher"
>>
>> Das ist ein Trade-off, den ich bereit bin mitzutragen. Grep funktioniert
>> ja trotzdem noch, halt nicht direkt in /var/log sondern in der Ausgabe
>> von journalctl.
> Ich habe bisher nur teilweise begriffen, wie ich da nun an die Logeinträge
> herankomme. Ich muss wohl root sein, als user findet journalctl keine
> Dateien.
Natürlich. Soll jeder User jedes Log einsehen können?
Sicherheitstechnisch ist soetwas extrem schädlich.
> Ich muss verschiedene Optionen verwenden, um verschiedene Einträge zu
> sehen, unklar ist, welche.
Steht in der Dokumentation. Nicht gelesen? Schade.
> Fehlen tut immer etwas. Einige Einträge landen nach wie vor in
> /var/log als Text. Früher konnte ich im Zweifel grep auf das ganze
> /var/log loslassen und wurde fündig.
Das ist auch jetzt der Fall. Eine der vielen Mythen um journald und das
Journal-Format ist, dass dadurch die Text-Logs wegfallen. Dies ist
falsch.
> Die farbigen Hervorhebungen nützen mir wenig.
Subjektives Empfinden.
> Man benötigt wohl zwingend journalctl. Was mache ich bei einer toten
> Maschine? Wie entschlüssele ich die Logfiles?
Man liest die Anleitung und stößt dabei auf die Parameter "--file=..."
und "--root=...". Das funktioniert auch von der Rescue-CD.
> Die alten Logfiles hatten ein paar optische Mängel, aber sie liessen
> sich problemlos durchsuchen. Auch egal, ob lokal oder remote geloggt
> wurde.
> Die Logfiles waren ein bewährtes System, und sie haben funktioniert.
Wenn du mal versucht hast, die Daten aus den Log-Files in /var/log
strukturiert in eine zentrale Datenbank zu bekommen, um diese dort
einfach aggregieren, durchsuchen und bewerten zu können, dann wirst du
die alten Log-File hassen gelernt haben.
Ich persönlich *liebe* die erweiterten Filtervariante, die mir
direkt ermöglichen, nach Unit, nach Programmpfad, nach PID/Child-PID zu
suchen und nur das zu sehen, was relevant ist, anstelle erst einmal über
einer passenden Regexp zu grübeln.
> Insgesamt ist der Rechner dadurch für mich ein Stück intransparenter
> geworden.
Nur, weil du direkt in eine Blockade-Haltung übergegangen bist und weder
a) verstanden hast, dass das journal mit den alten Logs Koexistiert und
b) die Dokumentation gelesen hast, die deine anderen Fragen beantwortet.
S°
--
Sigmentation fault. Core dumped.
Reply to: