Debian 12, systemd und Logs

[Exxter]

Hallo,

wie kann man bei Debian 12 die Logs lesen die früher in /var/log/mail.log und /var/log/apache/.. gespeichert wurden? Ich habe zB. diese Seite gefunden:

https://www.thomas-krenn.com/de/wiki/Ab ... _Debian_12

Mit

journalctl -u postfix

sehe ich

Code: Alles auswählen

-- Boot e95faf74efb14fc9b64ece44d1afd8f2 --
Sep 01 09:59:04 cloud systemd[1]: Starting postfix.service - Postfix Mail Transport Agent...
Sep 01 09:59:04 cloud systemd[1]: Finished postfix.service - Postfix Mail Transport Agent.
Sep 01 10:00:40 cloud systemd[1]: postfix.service: Deactivated successfully.
Sep 01 10:00:40 cloud systemd[1]: Stopped postfix.service - Postfix Mail Transport Agent.
-- Boot 59ceb15e0672495fa6c7e978ed676a16 --
Sep 01 10:00:53 bw systemd[1]: Starting postfix.service - Postfix Mail Transport Agent...
Sep 01 10:00:53 bw systemd[1]: Finished postfix.service - Postfix Mail Transport Agent.
Sep 01 10:52:00 bw systemd[1]: postfix.service: Deactivated successfully.
Sep 01 10:52:00 bw systemd[1]: Stopped postfix.service - Postfix Mail Transport Agent.
-- Boot 02188a30057b4ecba078fc999159d3c8 --

Uninteressant. Ich kann mir mit

journalctl

alle Log-Einträge ansehen, aber das ist ja auch nicht sinn der Sache bzw. ist das auch viel zu viel, das ist immer etwas verzögert.

Ein

journalctl -u postfix/smtp

funktioniert nicht.

Wie kommt man an die Logs?

[jph]

wie kann man bei Debian 12 die Logs lesen die früher in /var/log/mail.log und /var/log/apache/.. gespeichert wurden? Ich habe zB. diese Seite gefunden:

Diese Logs liegen weiterhin an den bekannten Stellen.

journalctl ersetzt das syslog und da wurde in der Vergangenheit ja auch nicht jeder Furz von Apache reingeschrieben.

[chrbr]

... wie kann man bei Debian 12 die Logs lesen die früher in /var/log/mail.log und /var/log/apache/.. gespeichert wurden?

Per default wird bei Debian 12 nur noch mit dem Journal Mechanismus geloggt. Man kann aber über eine Konfiguration die alte Situation wiederherstellen. Das steht so weit ich mich erinnere in den Releasenotes zu Bookworm. Aus dem Kopf weiss ich das leider nicht, was man genau zu tun hat.

[Exxter]

Genau, es handelt sich um ein neu installiertes Debian 12.1, es gibt keine /var/log/mail.log etc. Ich brauche die Logdateien nicht unbedingt in /var/log/ aber wenn man eine Mail rausschickt, möchte man doch sehen ob sie raus geht oder nicht. Genau diese Funktion suche ich - so wie man früher

tail -f /var/log/mail.log

machte, müsste es jetzt etwas geben wie

journalctl -f mail.log

finde ich aber nichts dazu. Ein

journalctl -f --namespace=postfix/*

funktioniert zB. auch nicht.

Mit grep kann ich zwar danach grepen (journalctl | grep postfix/), aber das ist ja auch nicht Sinn der Sache, v.a. klappt dann -f nicht mehr.

Die Ankündigung von Debian 12 dazu steht hier:

https://www.debian.org/releases/bookwor ... em-logging

[chrbr]

Bei mir ist opensmtpd als Mailserver installiert.Die entsprechende systemd-unit hat den Namen opensmtpd. Eine fortlaufende Ausgabe erhalte ich mit der unit Option von journalctl.

Code: Alles auswählen

journalctl -f -u opensmtpd

Den entsprechenden Namen der unit für postfix sollte in der Ausgabe von journalctl zu finden sein. Damit sollte die fortlaufende Ausgabe auch für postfix funktionieren.

[Exxter]

Nein, das ist es nicht:

Code: Alles auswählen

root@server ~ # journalctl -f -u postfix
Sep 15 10:24:49 exx-server systemd[1]: Starting postfix.service - Postfix Mail Transport Agent...
Sep 15 10:24:49 exx-server systemd[1]: Finished postfix.service - Postfix Mail Transport Agent.
^C
root@server ~ # journalctl -f -u postfix/*
Invalid unit name "postfix/*" escaped as "postfix-*" (maybe you should use systemd-escape?).
^C
root@exx-server ~ #

Obwohl ich gerade von dem System eine Mail verschickt habe wie schon oft. Wenn ich aber nur journalctl mache finde ich dort den Eintrag:

Code: Alles auswählen

Sep 20 18:20:00 server postfix/pickup[349820]: F1E9612E139A: uid=0 from=<root>
Sep 20 18:20:01 server postfix/cleanup[352416]: F1E9612E139A: message-id=<20230920162000.F1E9612E139A@server.example.de>
Sep 20 18:20:01 server postfix/qmgr[1022]: F1E9612E139A: from=<root@server.example.de>, size=409, nrcpt=1 (queue active)
Sep 20 18:20:02 server postfix/smtp[352418]: F1E9612E139A: to=<xxxxxxx@yyyyyyyyyy.org>, relay=mail.yyyyyyyyyy.org[94.000.000.000]:25, delay=1.1, delays=0.05/0.17/0.18/0.>
Sep 20 18:20:02 server postfix/qmgr[1022]: F1E9612E139A: removed

[heisenberg]

Erst mal bei mir (Debian 11) nach postfix in den Diensten suchen ...

Code: Alles auswählen

# systemctl list-units | grep -i postfix 

  postfix.service                    loaded active exited    Postfix Mail Transport Agent
  postfix@-.service                  loaded active running   Postfix Mail Transport Agent (instance -)
  system-postfix.slice               loaded active active    system-postfix.slice

Instanz "-" ist das richtige...

Code: Alles auswählen

# journalctl -u postfix@-.service 

...
Sep 20 18:38:23 myserver postfix/smtpd[763860]: lost connection after AUTH from unknown[79.78.157.160]
Sep 20 18:38:23 myserver postfix/smtpd[763860]: disconnect from unknown[79.78.157.160] ehlo=1 auth=0/1 commands=1/2
Sep 20 18:38:24 myserver postfix/submission/smtpd[771008]: warning: hostname burns.choletweb.com does not resolve to add...
Sep 20 18:38:24 myserver postfix/submission/smtpd[771008]: connect from unknown[45.129.14.99]
Sep 20 18:38:24 myserver postfix/submission/smtpd[756609]: warning: hostname burns.choletweb.com does not resolve to add...
Sep 20 18:38:24 myserver postfix/submission/smtpd[756609]: connect from unknown[45.129.14.99]
Sep 20 18:38:24 myserver postfix/smtps/smtpd[756464]: warning: unknown[61.164.202.218]: SASL LOGIN authentication failed...
Sep 20 18:38:24 myserver postfix/smtpd[761277]: warning: unknown[122.160.103.133]: SASL LOGIN authentication failed: UGF...
Sep 20 18:38:24 myserver postfix/smtpd[756379]: warning: hostname usr.1net.by.225.172.178.in-addr.arpa does not resolve ...
Sep 20 18:38:24 myserver postfix/smtpd[756379]: connect from unknown[178.172.225.33]
Sep 20 18:38:24 myserver postfix/smtpd[758111]: warning: unknown[93.95.27.26]: SASL LOGIN authentication failed: Connect...
Sep 20 18:38:25 myserver postfix/smtpd[758111]: lost connection after AUTH from unknown[93.95.27.26]
Sep 20 18:38:25 myserver postfix/smtpd[758111]: disconnect from unknown[93.95.27.26] ehlo=2 starttls=1 auth=0/1 commands...
Sep 20 18:38:25 myserver postfix/smtpd[761277]: lost connection after AUTH from unknown[122.160.103.133]
Sep 20 18:38:25 myserver postfix/smtpd[761277]: disconnect from unknown[122.160.103.133] ehlo=1 auth=0/1 commands=1/2
Sep 20 18:38:25 myserver postfix/smtps/smtpd[756464]: lost connection after AUTH from unknown[61.164.202.218]
Sep 20 18:38:25 myserver postfix/smtps/smtpd[756464]: disconnect from unknown[61.164.202.218] ehlo=1 auth=0/1 commands=1...

[chrbr]

Wie funktioniert der Befehl ohne Angang an postfix?

Code: Alles auswählen

journalctl -f -u postfix

EDIT: Da hat Heisenberg sicher die bessere Antwort gegeben.
Bei opensmtpd sieht das auch einfacher aus:

Code: Alles auswählen

# systemctl list-units|grep -i opensmtpd
  opensmtpd.service

[Exxter]

Vielen Dank Heisenberg (mal wieder) und an alle, genau das habe ich gesucht.

[derHippeChip]

weiß einer welche Schritte man durchführen muss um den journalctl wieder loszuwerden und auf den rsyslogd zurückzukehren?
Effizient ist das Tool nicht. Ich fand es einfacher mir die Dateien anzuschauen

[MSfree]

weiß einer welche Schritte man durchführen muss um den journalctl wieder loszuwerden und auf den rsyslogd zurückzukehren?

Ganz loswerden geht nicht. Man kann aber verhindern, daß Logs in das Journal geschrieben werden und statt dessen an rsyslogd weitergereicht werden, indem man in der Datei /etc/systemd/journald.conf

Code: Alles auswählen

Storage=none
ForwardToSyslog=yes
ForwardToWall=no

setzt.

[jmar83]

Was ich nicht verstehe: Überall liest man, dass bei Debian 12 man neu nun journalctl verwenden soll weil praktisch keine logfiles mehr unter /var/log/... geschrieben werden.

ABER: Was wenn man trotzdem an die Logfile gelangen möchte? Wo sind die neuerdings? kern.log zB gibt es ja nicht mehr unter /var/log:

[jmar83]

Nach "apt install rsyslog" & reboot:

[niemand]

Was wenn man trotzdem an die Logfile gelangen möchte? Wo sind die neuerdings?

Das File, bzw. die Files befinden sich unter /var/log/journal/.

OT: Dein letzter Beitrag sieht bei mir so aus: