[gelöst] Sprachformat journald

[Lamont]

Hallo Zusammen,

nach der Umstellung auf Debian 12 (Bookworm) bin ich etwas mit logcheck und journald auf dem Kriegsfuß. rsyslog läuft auch noch auf meinem server@home.

Zuerst konnte ich mein Problem mit logcheck (teilweise doppelte Einträge und unterschiedliches Datum-/Zeitformat) damit lösen, dass ich den hoch-präzisen Zeitstempel in rsyslog deaktiviert und das traditionelle Format eingestellt habe. Zusätzlich habe ich in journal.logfiles (logcheck) eingestellt, dass journald nicht mehr geprüft wird (logcheck kommt anscheinend nicht mit Umlauten klar).

Eigentlich läuft es jetzt wieder wie gewünscht, aber wie ich jetzt gelesen habe, gehört rsyslog wohl zur aussterbenden Art und journald übernimmt das Kommando (Hinweise zur Debian-Veröffentlichung Version 12).

Jetzt zu meiner Frage bzw. zu meinem Problem: ich würde gerne rsyslog deinstallieren und nur noch auf journald setzen. Allerdings wird das Datum in Deutsch geloggt (z.B. Mär 03 18:20:01) und logcheck hat zumindest bei mir Probleme mit den Umlauten (Mär 03 18:20:01). Kann man in journald einstellen, dass keine Umlaute bzw. "logging in english, please" genutzt wird, ohne die Systemsprache zu ändern (z.B. analog zu syslog)?

[thunder11]

Hab das auf die Schnelle gefunden:

Code: Alles auswählen

journalctl -b -o short-iso
2024-03-03T18:47:00+01:00 XFCE kernel: microcode: updated early: 0xca -> 0xfa, date = 2023-02-27
2024-03-03T18:47:00+01:00 XFCE kernel: Linux version 6.6.15-amd64 (debian-kernel@lists.debian.org) >
2024-03-03T18:47:00+01:00 XFCE kernel: Command line: BOOT_IMAGE=/boot/vmlinuz-6.6.15-amd64 root=UUI>
2024-03-03T18:47:00+01:00 XFCE kernel: BIOS-provided physical RAM map:

Normale Ausgabe:

Code: Alles auswählen

journalctl -b
Mär 03 18:47:00 XFCE kernel: microcode: updated early: 0xca -> 0xfa, date = 2023-02-27
Mär 03 18:47:00 XFCE kernel: Linux version 6.6.15-amd64 (debian-kernel@lists.debian.org) (gcc-13 (D>
Mär 03 18:47:00 XFCE kernel: Command line: BOOT_IMAGE=/boot/vmlinuz-6.6.15-amd64 root=UUID=c7ef160f>
Mär 03 18:47:00 XFCE kernel: BIOS-provided physical RAM map:

Detaillierte Ausführung:
https://www.freedesktop.org/software/sy ... lctl.html#

Mal Interesse halber:

Was versprichst du dir von dem Programm logcheck ?
Die Ausgabe von journalctl hat dermaßen viele Filtermöglichkeiten, dass ich die Anwendung (Nutzen)
nicht verstehe.
Das Verhalten vom Journal wird hier eingestellt:
/etc/systemd/journald.conf
Anleitung dafür: https://www.freedesktop.org/software/sy ... .conf.html

rsyslog brauchst du nicht mehr. Ist Überflüssig.

[Lamont]

Hallo thunder,

vielen Dank für die Rückmeldung.

Die Option journalctl -b (boot) bzw. -o (output-format) hatte ich auch gefunden, dachte aber, dass es nur Einfluss auf die Abfrage/Ausgabe hat und nicht permanent ist.

Was ich mir von logcheck verspreche? Ich bin jetzt kein Linux-Experte. Hatte mir damals einen kleinen Server zusammengebastelt, damit ich eine Motivation für den Einstieg nach Linux habe. Entsprechend jungfräulich bin ich an die Sache herangegangen und hatte mich durch die Fachlektüre gearbeitet. Eine Überwachung bzw. (halb)automatische Analyse der Logdateien wurde/wird empfohlen. Ich persönlich sehe logcheck hierbei als eine Art Unterstützung, indem unwichtige Meldungen herausgefiltert und bestimmte Protokollmeldungen automatisch hervorgehoben werden. Es geht mir also nicht primär um Filtermöglichkeiten bei der Ausgabe (aka Ad-hoc-Auswertungen), sondern eher um eine automatisierte (Vor-)Analyse der Logdaten.

[thunder11]

Die Option journalctl -b (boot) bzw. -o (output-format) hatte ich auch gefunden, dachte aber, dass es nur Einfluss auf die Abfrage/Ausgabe hat und nicht permanent ist.

Ich glaube, das es sich tatsächlich nur auf die Ausgabe bezieht. Ob man das im Journal selbst umstellen kann, weiß ich nicht. Müssten dann aber zusätzliche, nicht vorhandene Zeilen in der /etc/systemd/journald.conf sein.

Mal abgesehen von der von dir erwähnten Formatierung bei logcheck kann ich nicht nachvollziehen, was der Vorteil gegenüber den Ausgabefiltern von journalctl ist.
Außerdem scheint da ja noch eine Datenbank generiert zu werden.
Ich habe mit z.B. einen Mini-Skript gemacht, das ich ab und zu starte, um zu sehen, ob irgendwelche
Wichtigen Dinge schief laufen.
Das wäre dann z.B. die Option -px, wobei x für

• alert (1)
  crit (2)
  err (3)
  warning (4)
  notice (5)
  info (6)
  debug (7)

Das gibt mir einen schnellen Überblick, ob irgendwas schief läuft.

Code: Alles auswählen

journalctl -b -p3

Ganz gut für einen ersten Überblick finde ich diese Seite:
https://www.digitalocean.com/community/ ... stemd-logs

Es geht mir also nicht primär um Filtermöglichkeiten bei der Ausgabe (aka Ad-hoc-Auswertungen), sondern eher um eine automatisierte (Vor-)Analyse der Logdaten.

Verstehe ich nicht, da zur Analyse ja letztendlich irgendwelche Parameter gehören
Nun ja - letztendlich bleibt es dir überlassen, wie du das haben willst.

[Lamont]

Hallo thunder,

natürlich kann man viele Dinge selbst machen, wenn man möchte. Man kann aber auch "fertige Produkte" nutzen, schließlich führen viele bzw. alle Wege nach Rom. Die entsprechenden Parameter zur (Vor-)Analyse bringt logcheck bereits mit und man kann diese noch etwas verfeinern:
https://www.debian.org/doc/manuals/secu ... ts.de.html

Zum ursprünglichen Thema zurück: Ich habe Datum/Zeit auf Englisch gesetzt

Code: Alles auswählen

localectl set-locale LC_TIME=en_GB.utf8

und journalctl gibt jetzt die englische Datumsangabe aus (in Verbindung mit logcheck konnte ich es aber noch nicht testen).


Vielen Dank noch mal für deine Rückmeldungen!

[niemand]

Damit setzt du das Datums- und Zeitformat systemweit und persistent. Wenn es das ist, was du möchtest, okay. Wenn du aber das Format nur für das konkrete Hantieren mit den Logs haben willst, könntest du die Variable einfach vor jedem Aufruf von journalctl auf den Wert setzen, ohne den Rest des Systems zu beeinflussen.

[Lamont]

Ja, das ist wohl der Kompromiss, den ich eingehen muss. Es geht mir ja um die automatische Weiterverarbeitung durch logcheck

[niemand]

Ja, das ist wohl der Kompromiss, den ich eingehen muss.

Nein, musst du eben nicht: du kannst die Variable auch nur für den Aufruf von journalctl mit dem Wert für das gewünschte Format setzen und den Output in logcheck weiterverarbeiten, ohne den Rest des Systems zu beeinflussen.

[Lamont]

Hättest du evtl. ein praktisches Beispiel für mich? Also wo müsste ich was eintragen?

[niemand]

Mein erster Ansatzpunkt wäre /etc/logcheck.conf. Leider gibt es logcheck bei dem von mir lokal genutzten System gar nicht mehr (stattdessen aber etwas namens journalcheck, was zwar möglicherweise alle deine Probleme lösen würde, aber unter Debian nicht zur Verfügung zu stehen scheint), sodass ich da nicht selbst schauen kann.