[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: binaeres Journal versus textuelle Logdateien

Christian Knoke <chrisk@cknoke.de> wrote:
> Uwe Kleine-König schrieb am 16. Aug um 09:47 Uhr:

>>> Ich kenne viele Menschen, die textuelle Log-Dateien als deutlich 
>>> zugänglicher und damit für sie persönlich subjektiv als "Besser" 
>>> empfinden.
 
>> meine Subjektivität sagt:
>> 
>>  + binäre Logs sind kleiner
>>  - Zugang zu den Logs ist anders als "früher"
>> 
>> Das ist ein Trade-off, den ich bereit bin mitzutragen. Grep funktioniert
>> ja trotzdem noch, halt nicht direkt in /var/log sondern in der Ausgabe
>> von journalctl.

> Ich habe bisher nur teilweise begriffen, wie ich da nun an die Logeinträge
> herankomme.  Ich muss wohl root sein, als user findet journalctl keine
> Dateien. 

Natürlich. Soll jeder User jedes Log einsehen können?
Sicherheitstechnisch ist soetwas extrem schädlich.

> Ich muss verschiedene Optionen verwenden, um verschiedene Einträge zu
> sehen, unklar ist, welche.

Steht in der Dokumentation. Nicht gelesen? Schade.

> Fehlen tut immer etwas.  Einige Einträge landen nach wie vor in
> /var/log als Text.  Früher konnte ich im Zweifel grep auf das ganze
> /var/log loslassen und wurde fündig.

Das ist auch jetzt der Fall. Eine der vielen Mythen um journald und das
Journal-Format ist, dass dadurch die Text-Logs wegfallen. Dies ist
falsch.

> Die farbigen Hervorhebungen nützen mir wenig.

Subjektives Empfinden.

> Man benötigt wohl zwingend journalctl. Was mache ich bei einer toten
> Maschine? Wie entschlüssele ich die Logfiles?

Man liest die Anleitung und stößt dabei auf die Parameter "--file=..."
und "--root=...". Das funktioniert auch von der Rescue-CD.

> Die alten Logfiles hatten ein paar optische Mängel, aber sie liessen
> sich problemlos durchsuchen. Auch egal, ob lokal oder remote geloggt
> wurde.

> Die Logfiles waren ein bewährtes System, und sie haben funktioniert.

Wenn du mal versucht hast, die Daten aus den Log-Files in /var/log
strukturiert in eine zentrale Datenbank zu bekommen, um diese dort
einfach aggregieren, durchsuchen und bewerten zu können, dann wirst du
die alten Log-File hassen gelernt haben.

Ich persönlich *liebe* die erweiterten Filtervariante, die mir
direkt ermöglichen, nach Unit, nach Programmpfad, nach PID/Child-PID zu
suchen und nur das zu sehen, was relevant ist, anstelle erst einmal über
einer passenden Regexp zu grübeln.

> Insgesamt ist der Rechner dadurch für mich ein Stück intransparenter
> geworden.

Nur, weil du direkt in eine Blockade-Haltung übergegangen bist und weder
a) verstanden hast, dass das journal mit den alten Logs Koexistiert und
b) die Dokumentation gelesen hast, die deine anderen Fragen beantwortet.

S°

-- 
Sigmentation fault. Core dumped.
Reply to: