Intermediário Fundamental Progresso 0%

Logs com journalctl e /var/log

journalctl, /var/log e grep, encontre evidência em vez de adivinhar.

01. Conceito

Por que logs importam

Explicação

Log é a memória operacional do sistema. Se um serviço caiu às 03:14, o log é o registro mais próximo do que realmente aconteceu. Sem ele, você fica preso a sintoma e intuição.

Analogia

Pense em logs como a caixa-preta de um avião. Ela não impede o problema, mas explica a sequência de eventos com muito mais precisão do que qualquer relato humano.

02. journalctl

journalctl no dia a dia

Comandos reais 
sudo journalctl -xe
sudo journalctl -u nginx
sudo journalctl -u nginx -n 50 --no-pager
sudo journalctl -u ssh --since "today"
sudo journalctl -f
Explicação

journalctl lê o journal do systemd. O segredo é filtrar cedo: por unit, por tempo, por prioridade ou acompanhando em tempo real com -f.

Erro comum

Rodar journalctl puro e se afogar em milhares de linhas. Entre com contexto: serviço, intervalo de tempo e volume esperado.

03. Arquivos

Arquivos clássicos em /var/log

Explicação

Mesmo com journal, muitos softwares ainda escrevem em arquivos tradicionais. Saber os caminhos clássicos acelera muito o diagnóstico.

Referências práticas 
/var/log/syslog      # Debian/Ubuntu, visão geral
/var/log/messages    # RHEL/CentOS/Fedora
/var/log/auth.log    # autenticação
/var/log/kern.log    # eventos do kernel
/var/log/nginx/error.log
/var/log/apache2/error.log
Mini troubleshooting
  • Falha de login? Veja auth.log ou journal do serviço.
  • Erro de aplicação web? Vá direto ao error log dela.
  • Problema no disco ou driver? Procure sinais em kern.log ou dmesg.
04. Ferramentas

Ferramentas que aceleram leitura

Comandos reais 
tail -f /var/log/nginx/error.log
less +G /var/log/syslog
grep -i error /var/log/syslog
grep -Ei "denied|failed|timeout" /var/log/auth.log
journalctl -u nginx | grep -i upstream
Explicação

Nem todo diagnóstico pede ferramenta sofisticada. Muitas vezes tail -f, less e grep resolvem rápido, desde que você saiba qual evento está procurando.

05. Método

Como ler sem se perder

Método

Comece pelo momento do incidente. Depois identifique o processo envolvido. Só então procure mensagens imediatamente antes e depois. Isso cria uma narrativa temporal, não uma caça aleatória por palavras assustadoras.

Checklist
  • Qual serviço ou subsistema está implicado?
  • Quando o problema aconteceu?
  • O erro é recorrente ou pontual?
  • Há mensagem de causa direta, não só de efeito?

Flashcards

Quiz

Tópico 1 de 5