Mit Debian 12 (bookworm) wird jetzt nur noch der journald für das
Logging installiert und nicht noch wie bei den vorherigen Versionen zusätzlich der syslog-ng. Endlich, warum auch zwei log-Systeme? Auch hat der journald eine Menge an Vorteilen gegenüber den anderen Log-Systemen.  Klar, das Log-file wird binär abgelegt und nicht mehr im ASCII-Format, aber das hat mehr Vor- als Nachteile. Man muss sich jetzt vielleicht mal etwas genauer mit dem journald auseinandersetzen um auch die Vorteile zu sehen.

Durch das binäre Format ist eine Fälschung des logs durch entfernen von einzelnen Zeilen kaum bis gar nicht mehr möglich. Für jeden Eintrag im Log wird eine Hashwert gebildet und der Hashwert beinhaltet immer auch den Hashwert des vorherigen Eintrags. Würde also eine Zeile aus dem Log entfernt, stimmen alle folgenden Hashwerte nicht mehr und die Manipulation würde sofort auffallen.

Auch ist die Suche im Log erheblich einfacher. Hier mal ein paar Beispiele:

journalctl – -until „2023-01-01 12:00:00“
Hier werden alle Einträge bis zum angegeben Datum und Uhrzeit aufgelistet

Das ganze geht natürlich auch so:
journalctl – -since „2023-01-06 12:00:00“
Starte die Suche zum angegebenen Datum und Uhrzeit bis jetzt.

Eine Kombination aus beiden ist auch möglich:
journalctl – -since „2023-01-01 12:00:00“  –until „2022-01-06 12:00:00“

Bei den Zeitangaben gibt es jede Menge an Möglichkeiten. hier ein paar Beispiele:
journalctl – -since yesterday
journalctl – -since 09:00 –until „1 hour ago“
journalctl – -since „2023-01-07 17:15:00“ –until now
journalctl – -since „2023-01-07 17:15:00“ –until „+1 hour“
journalctl – -since „2023-01-07 17:15:00“ –until „-1 minute“

Auch lässt sich gut nach Einträgen eines  bestimmten Dienstes suchen:
journalctl -u slapd.service

Ein zusätzlichen -f öffnet das Journal und Sie können alle aktuell auflaufende Meldungen des Dienstes sehen.

Sie suchen nach allen Einträgen die zu einer bestimmten Prozess-ID gehören? Kein Problem:
journalctl _PID=560

Oder Einträge die eine bestimmte UID haben:
journalctl _UID=106 –since today

Sie wollen sehen, welche Meldungen zu einem bestimmten Log-Level seit dem letzten boot im Log stehen?
journalctl -p err -b

Das sind nur ein paar Möglichkeiten die Sie mit dem journald haben. Also, nicht gleich den syslog-ng installieren so nach dem Motto: „Das haben wir immer schon so gemacht“.