π§Ύ 17.3 Journaling met systemd-journald in Linux
π οΈ Wat is systemd-journald?
systemd-journald is de loggingcomponent van systemd. In tegenstelling tot traditionele tekstgebaseerde syslog-systemen slaat journald logberichten op in binaire bestandsformaten. Hierdoor wordt krachtige filtering, compressie en centrale logaggregatie mogelijk.
π Belangrijke Bestanden en Directories
Bestand / Directory Beschrijving
/etc/systemd/journald.conf Hoofdconfiguratiebestand van systemd-journald
/var/log/journal/ Directory voor permanente logs als Storage=persistent is ingesteld
/run/log/journal/ Tijdelijke opslag bij Storage=volatile (standaard op veel systemen)
βοΈ Belangrijke Instellingen in journald.conf
Instelling Beschrijving
Storage=volatile Logs worden alleen tijdelijk opgeslagen (verdwijnen na reboot)
Storage=persistent Logs worden blijvend opgeslagen in /var/log/journal/
Compress= Inschakelen van compressie op journalbestanden
ForwardToSyslog= Doorsturen van journald-logs naar een syslog-daemon zoals rsyslog
π Logbestanden Bekijken met journalctl
Omdat journald binaire bestanden gebruikt, worden logs uitsluitend bekeken met het commando journalctl.
π Handige journalctl Opties
Optie Beschrijving
-a Toon alle beschikbare velden
-e Spring naar het einde van de journal (live logs)
-n [aantal] Toon de laatste N logregels
-r Toon logs in omgekeerde volgorde (nieuwste eerst)
π― Filteren met journalctl Matches
Parameter Beschrijving
PRIORITY=value Filter op ernstniveau (0=emerg, 1=alert, ..., 7=debug)
_UID=userid Toon logs van een specifieke gebruiker-ID
_HOSTNAME=host Filter op hostname
_TRANSPORT=trans Filter op transporttype (bijv. syslog, audit, journal)
_UDEV_SYSNAME=dev Toon logs van een specifiek Udev-apparaat
OBJECT_PID=pid Toon logs van een bepaald proces-ID
π§ͺ Voorbeelden van journalctl Gebruik
# Toon de laatste 20 logregels
journalctl -n 20
# Toon alleen kernel-gerelateerde logs
journalctl -k
# Bekijk logs van een specifiek proces (PID 1234)
journalctl OBJECT_PID=1234
# Toon logs in omgekeerde volgorde (nieuwste eerst)
journalctl -r