[gelöst] Sprachformat journald
[gelöst] Sprachformat journald
Hallo Zusammen,
nach der Umstellung auf Debian 12 (Bookworm) bin ich etwas mit logcheck und journald auf dem Kriegsfuß. rsyslog läuft auch noch auf meinem server@home.
Zuerst konnte ich mein Problem mit logcheck (teilweise doppelte Einträge und unterschiedliches Datum-/Zeitformat) damit lösen, dass ich den hoch-präzisen Zeitstempel in rsyslog deaktiviert und das traditionelle Format eingestellt habe. Zusätzlich habe ich in journal.logfiles (logcheck) eingestellt, dass journald nicht mehr geprüft wird (logcheck kommt anscheinend nicht mit Umlauten klar).
Eigentlich läuft es jetzt wieder wie gewünscht, aber wie ich jetzt gelesen habe, gehört rsyslog wohl zur aussterbenden Art und journald übernimmt das Kommando (Hinweise zur Debian-Veröffentlichung Version 12).
Jetzt zu meiner Frage bzw. zu meinem Problem: ich würde gerne rsyslog deinstallieren und nur noch auf journald setzen. Allerdings wird das Datum in Deutsch geloggt (z.B. Mär 03 18:20:01) und logcheck hat zumindest bei mir Probleme mit den Umlauten (Mär 03 18:20:01). Kann man in journald einstellen, dass keine Umlaute bzw. "logging in english, please" genutzt wird, ohne die Systemsprache zu ändern (z.B. analog zu syslog)?
nach der Umstellung auf Debian 12 (Bookworm) bin ich etwas mit logcheck und journald auf dem Kriegsfuß. rsyslog läuft auch noch auf meinem server@home.
Zuerst konnte ich mein Problem mit logcheck (teilweise doppelte Einträge und unterschiedliches Datum-/Zeitformat) damit lösen, dass ich den hoch-präzisen Zeitstempel in rsyslog deaktiviert und das traditionelle Format eingestellt habe. Zusätzlich habe ich in journal.logfiles (logcheck) eingestellt, dass journald nicht mehr geprüft wird (logcheck kommt anscheinend nicht mit Umlauten klar).
Eigentlich läuft es jetzt wieder wie gewünscht, aber wie ich jetzt gelesen habe, gehört rsyslog wohl zur aussterbenden Art und journald übernimmt das Kommando (Hinweise zur Debian-Veröffentlichung Version 12).
Jetzt zu meiner Frage bzw. zu meinem Problem: ich würde gerne rsyslog deinstallieren und nur noch auf journald setzen. Allerdings wird das Datum in Deutsch geloggt (z.B. Mär 03 18:20:01) und logcheck hat zumindest bei mir Probleme mit den Umlauten (Mär 03 18:20:01). Kann man in journald einstellen, dass keine Umlaute bzw. "logging in english, please" genutzt wird, ohne die Systemsprache zu ändern (z.B. analog zu syslog)?
Zuletzt geändert von Lamont am 07.03.2024 13:12:08, insgesamt 1-mal geändert.
Re: Sprachformat journald
Hab das auf die Schnelle gefunden:
Normale Ausgabe:
Detaillierte Ausführung:
https://www.freedesktop.org/software/sy ... lctl.html#
Mal Interesse halber:
Was versprichst du dir von dem Programm logcheck ?
Die Ausgabe von journalctl hat dermaßen viele Filtermöglichkeiten, dass ich die Anwendung (Nutzen)
nicht verstehe.
Das Verhalten vom Journal wird hier eingestellt:
/etc/systemd/journald.conf
Anleitung dafür: https://www.freedesktop.org/software/sy ... .conf.html
rsyslog brauchst du nicht mehr. Ist Überflüssig.
Code: Alles auswählen
journalctl -b -o short-iso
2024-03-03T18:47:00+01:00 XFCE kernel: microcode: updated early: 0xca -> 0xfa, date = 2023-02-27
2024-03-03T18:47:00+01:00 XFCE kernel: Linux version 6.6.15-amd64 (debian-kernel@lists.debian.org) >
2024-03-03T18:47:00+01:00 XFCE kernel: Command line: BOOT_IMAGE=/boot/vmlinuz-6.6.15-amd64 root=UUI>
2024-03-03T18:47:00+01:00 XFCE kernel: BIOS-provided physical RAM map:
Code: Alles auswählen
journalctl -b
Mär 03 18:47:00 XFCE kernel: microcode: updated early: 0xca -> 0xfa, date = 2023-02-27
Mär 03 18:47:00 XFCE kernel: Linux version 6.6.15-amd64 (debian-kernel@lists.debian.org) (gcc-13 (D>
Mär 03 18:47:00 XFCE kernel: Command line: BOOT_IMAGE=/boot/vmlinuz-6.6.15-amd64 root=UUID=c7ef160f>
Mär 03 18:47:00 XFCE kernel: BIOS-provided physical RAM map:
https://www.freedesktop.org/software/sy ... lctl.html#
Mal Interesse halber:
Was versprichst du dir von dem Programm logcheck ?
Die Ausgabe von journalctl hat dermaßen viele Filtermöglichkeiten, dass ich die Anwendung (Nutzen)
nicht verstehe.
Das Verhalten vom Journal wird hier eingestellt:
/etc/systemd/journald.conf
Anleitung dafür: https://www.freedesktop.org/software/sy ... .conf.html
rsyslog brauchst du nicht mehr. Ist Überflüssig.
Re: Sprachformat journald
Hallo thunder,
vielen Dank für die Rückmeldung.
Die Option journalctl -b (boot) bzw. -o (output-format) hatte ich auch gefunden, dachte aber, dass es nur Einfluss auf die Abfrage/Ausgabe hat und nicht permanent ist.
Was ich mir von logcheck verspreche? Ich bin jetzt kein Linux-Experte. Hatte mir damals einen kleinen Server zusammengebastelt, damit ich eine Motivation für den Einstieg nach Linux habe. Entsprechend jungfräulich bin ich an die Sache herangegangen und hatte mich durch die Fachlektüre gearbeitet. Eine Überwachung bzw. (halb)automatische Analyse der Logdateien wurde/wird empfohlen. Ich persönlich sehe logcheck hierbei als eine Art Unterstützung, indem unwichtige Meldungen herausgefiltert und bestimmte Protokollmeldungen automatisch hervorgehoben werden. Es geht mir also nicht primär um Filtermöglichkeiten bei der Ausgabe (aka Ad-hoc-Auswertungen), sondern eher um eine automatisierte (Vor-)Analyse der Logdaten.
vielen Dank für die Rückmeldung.
Die Option journalctl -b (boot) bzw. -o (output-format) hatte ich auch gefunden, dachte aber, dass es nur Einfluss auf die Abfrage/Ausgabe hat und nicht permanent ist.
Was ich mir von logcheck verspreche? Ich bin jetzt kein Linux-Experte. Hatte mir damals einen kleinen Server zusammengebastelt, damit ich eine Motivation für den Einstieg nach Linux habe. Entsprechend jungfräulich bin ich an die Sache herangegangen und hatte mich durch die Fachlektüre gearbeitet. Eine Überwachung bzw. (halb)automatische Analyse der Logdateien wurde/wird empfohlen. Ich persönlich sehe logcheck hierbei als eine Art Unterstützung, indem unwichtige Meldungen herausgefiltert und bestimmte Protokollmeldungen automatisch hervorgehoben werden. Es geht mir also nicht primär um Filtermöglichkeiten bei der Ausgabe (aka Ad-hoc-Auswertungen), sondern eher um eine automatisierte (Vor-)Analyse der Logdaten.
Re: Sprachformat journald
Ich glaube, das es sich tatsächlich nur auf die Ausgabe bezieht. Ob man das im Journal selbst umstellen kann, weiß ich nicht. Müssten dann aber zusätzliche, nicht vorhandene Zeilen in der /etc/systemd/journald.conf sein.Lamont hat geschrieben:04.03.2024 05:33:54Die Option journalctl -b (boot) bzw. -o (output-format) hatte ich auch gefunden, dachte aber, dass es nur Einfluss auf die Abfrage/Ausgabe hat und nicht permanent ist.
Mal abgesehen von der von dir erwähnten Formatierung bei logcheck kann ich nicht nachvollziehen, was der Vorteil gegenüber den Ausgabefiltern von journalctl ist.
Außerdem scheint da ja noch eine Datenbank generiert zu werden.
Ich habe mit z.B. einen Mini-Skript gemacht, das ich ab und zu starte, um zu sehen, ob irgendwelche
Wichtigen Dinge schief laufen.
Das wäre dann z.B. die Option -px, wobei x für
- alert (1)
crit (2)
err (3)
warning (4)
notice (5)
info (6)
debug (7)
Code: Alles auswählen
journalctl -b -p3
https://www.digitalocean.com/community/ ... stemd-logs
Verstehe ich nicht, da zur Analyse ja letztendlich irgendwelche Parameter gehörenLamont hat geschrieben:04.03.2024 05:33:54Es geht mir also nicht primär um Filtermöglichkeiten bei der Ausgabe (aka Ad-hoc-Auswertungen), sondern eher um eine automatisierte (Vor-)Analyse der Logdaten.
Nun ja - letztendlich bleibt es dir überlassen, wie du das haben willst.
Re: Sprachformat journald
Hallo thunder,
natürlich kann man viele Dinge selbst machen, wenn man möchte. Man kann aber auch "fertige Produkte" nutzen, schließlich führen viele bzw. alle Wege nach Rom. Die entsprechenden Parameter zur (Vor-)Analyse bringt logcheck bereits mit und man kann diese noch etwas verfeinern:
https://www.debian.org/doc/manuals/secu ... ts.de.html
Zum ursprünglichen Thema zurück: Ich habe Datum/Zeit auf Englisch gesetzt
und journalctl gibt jetzt die englische Datumsangabe aus (in Verbindung mit logcheck konnte ich es aber noch nicht testen).
Vielen Dank noch mal für deine Rückmeldungen!
natürlich kann man viele Dinge selbst machen, wenn man möchte. Man kann aber auch "fertige Produkte" nutzen, schließlich führen viele bzw. alle Wege nach Rom. Die entsprechenden Parameter zur (Vor-)Analyse bringt logcheck bereits mit und man kann diese noch etwas verfeinern:
https://www.debian.org/doc/manuals/secu ... ts.de.html
Zum ursprünglichen Thema zurück: Ich habe Datum/Zeit auf Englisch gesetzt
Code: Alles auswählen
localectl set-locale LC_TIME=en_GB.utf8
und journalctl gibt jetzt die englische Datumsangabe aus (in Verbindung mit logcheck konnte ich es aber noch nicht testen).
Vielen Dank noch mal für deine Rückmeldungen!
Re: Sprachformat journald
Damit setzt du das Datums- und Zeitformat systemweit und persistent. Wenn es das ist, was du möchtest, okay. Wenn du aber das Format nur für das konkrete Hantieren mit den Logs haben willst, könntest du die Variable einfach vor jedem Aufruf von journalctl auf den Wert setzen, ohne den Rest des Systems zu beeinflussen.
„I fought in the Vim-Emacs-War.“ Quelle
Re: Sprachformat journald
Ja, das ist wohl der Kompromiss, den ich eingehen muss. Es geht mir ja um die automatische Weiterverarbeitung durch logcheck
Re: Sprachformat journald
Nein, musst du eben nicht: du kannst die Variable auch nur für den Aufruf von journalctl mit dem Wert für das gewünschte Format setzen und den Output in logcheck weiterverarbeiten, ohne den Rest des Systems zu beeinflussen.
„I fought in the Vim-Emacs-War.“ Quelle
Re: Sprachformat journald
Hättest du evtl. ein praktisches Beispiel für mich? Also wo müsste ich was eintragen?
Re: Sprachformat journald
Mein erster Ansatzpunkt wäre /etc/logcheck.conf. Leider gibt es logcheck bei dem von mir lokal genutzten System gar nicht mehr (stattdessen aber etwas namens journalcheck, was zwar möglicherweise alle deine Probleme lösen würde, aber unter Debian nicht zur Verfügung zu stehen scheint), sodass ich da nicht selbst schauen kann.
„I fought in the Vim-Emacs-War.“ Quelle