Introducción a journalctl
journalctl es la herramienta de línea de comandos que permite leer y manipular el registro del sistema gestionado por systemd. En lugar de revisar archivos de log dispersos en /var/log, journalctl centraliza toda la información en un único journal, facilitando la diagnóstico de problemas y el monitoreo del rendimiento.
Sintaxis básica
El comando se invoca simplemente como journalctl. Sin argumentos, muestra todas las entradas del journal desde el inicio más antiguo hasta el más reciente, paginado mediante less. Puede combinarse con opciones como -n para limitar el número de líneas o -f para seguir el flujo en tiempo real, análogo a tail -f.
Filtrado por tiempo
Una de las ventajas de journalctl es su capacidad para filtrar entradas según rangos de tiempo. Se pueden usar las opciones --since y --until seguidas de expresiones de fecha y hora, por ejemplo:
journalctl --since \"2025-09-01 00:00:00\"journalctl --until \"1 hour ago\"journalctl --since yesterday
Estas expresiones admiten formatos como \»YYYY-MM-DD HH:MM:SS\», \»now\», \»yesterday\», \»2 days ago\», etc., lo que permite aislar rápidamente eventos relevantes.
Filtrado por unidad
Para centrar la salida en una unidad específica de systemd (servicio, socket, timer, etc.) se emplea la opción -u seguida del nombre de la unidad. Por ejemplo:
journalctl -u ssh.servicejournalctl -u cron.timer
También es posible combinar varios -u para ver múltiples unidades simultáneamente.
Salida en diferentes formatos
journalctl puede presentar la información en varios formatos además del legible por defecto. Con la opción -o se puede especificar:
short: formato legible predeterminado.short-iso: incluye timestamps en formato ISO 8601.json: cada entrada como un objeto JSON, ideal para procesamiento posterior.json-pretty: JSON con indentación para lectura humana.cat: muestra únicamente el mensaje, sin metadatos.
Esto facilita la integración con herramientas de análisis de logs o scripts de automatización.
Persistencia y almacenamiento del journal
Por defecto, systemd almacena el journal en /run/log/journal (volátil) o en /var/log/journal si el directorio existe y tiene permisos adecuados. Al crear el directorio /var/log/journal y reiniciar systemd-journald, el journal se vuelve persistente entre reinicios, lo que permite conservar logs para auditorías a largo plazo.
Limpieza y retención
El tamaño máximo del journal se controla con los parámetros SystemMaxUse, SystemKeepFree y SystemMaxFileSize en /etc/systemd/journald.conf. Por ejemplo, para limitar el uso a 1 GB y mantener al menos 200 MB libres:
- SystemMaxUse=1G
- SystemKeepFree=200M
Se pueden aplicar cambios recargando el servicio: sudo systemctl restart systemd-journald. Además, la opción --vacuum-size y --vacuum-time de journalctl permiten eliminar entradas antiguas directamente desde la línea de comandos.
Consejos de rendimiento
Al trabajar con journals muy grandes, es recomendable usar filtros tempranos (como -u o -p) para reducir la cantidad de datos que journalctl debe leer. Asimismo, combinar --no-pager con redirección a un archivo facilita el procesamiento posterior con herramientas como grep, awk o jq cuando se usa formato JSON.
Combinando opciones y ejemplos prácticos
El verdadero poder de journalctl radica en combinar filtros. Por ejemplo, para ver los errores del servicio nginx en las últimas 24 horas en formato JSON:
journalctl -u nginx.service --since \"24 hours ago\" -p err -o json
O para seguir en tiempo real los eventos de kernel con nivel de alerta o superior:
journalctl -k -f -p alert..emerg
Estas combinaciones permiten a administradores crear comandos personalizados que se ajusten a sus necesidades de monitoreo y depuración.
Conclusión
Dominar journalctl es esencial para cualquier administrador de Linux que trabaja con systemd. Su flexibilidad en filtrado, formato y tiempo lo convierte en la herramienta predilecta para acceder a los logs del sistema de forma rápida y eficiente.
