Thiago Teixeira
EN | PT

journalctl

Ferramenta de consulta ao journal do systemd — acesso filtrado e estruturado a logs Linux.

Logs e SIEM Nativo do SO CLI Em Estudo Linux

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O journalctl é a CLI de consulta ao journal do systemd, o armazenamento binário indexado usado pelas distros Linux modernas. Complementa (e em muitas distros substitui) os clássicos /var/log/*.

Por que importa:

  • Campos estruturados tornam filtros precisos (_SYSTEMD_UNIT, _UID, PRIORITY).
  • Janelas de tempo (--since, --until) para escopo de incidente.
  • Modo tail (-f) para monitoramento ao vivo.
  • Navegação por boot (--list-boots, -b -1) para crash.

Casos de uso

  • Coleta de atividade SSH durante incidentes
  • Acompanhar serviço em tempo real
  • Recuperar logs do boot anterior após crash

Exemplo

sudo journalctl _SYSTEMD_UNIT=ssh.service --since "1 hour ago" -o json
sudo journalctl -k -b -1     # kernel ring buffer from previous boot