Giriş
Log yönetimi sorun teşhisi, güvenlik denetimi ve uyumluluk için kritiktir. Modern Linux'ta iki ana sistem vardır: systemd journal (journald) ve geleneksel syslog (rsyslog).
journald binary ve yapılandırılmış log tutar; rsyslog metin tabanlı ve uzaktan forwarding destekler. Çoğu dağıtımda ikisi birlikte çalışır.
Bu rehberde her iki sistemin yapılandırması, filtreleme, rotasyon ve merkezi toplama ele alınır.
journalctl Temelleri
journalctl tüm journal kayıtlarını okur. -u nginx.service unit filtresi. -p err yalnızca hata ve üstü. -b bu boot, -b -1 önceki boot.
--since ve --until zaman aralığı. -o json-pretty yapılandırılmış çıktı.
journalctl -u myapp.service -f
journalctl -p warning --since '2026-01-01'
journalctl -b -1 -u ssh.servicejournald Yapılandırması
/etc/systemd/journald.conf Storage=persistent reboot sonrası saklar. SystemMaxUse disk limiti. ForwardToSyslog=yes rsyslog'a iletir.
Compress=yes sıkıştırma. RateLimitIntervalSec burst flood koruması.
# /etc/systemd/journald.conf
[Journal]
Storage=persistent
SystemMaxUse=500M
ForwardToSyslog=yes
Compress=yesrsyslog Yapılandırması
/etc/rsyslog.conf ve /etc/rsyslog.d/*.conf kural dosyaları. facility.severity /path formatı. local0.* /var/log/myapp.log uygulama logları.
Uzaktan gönderim: *.* @@logserver:514 (TCP TLS ile güvenli).
# /etc/rsyslog.d/myapp.conf
local0.* /var/log/myapp/app.log
& stop
# Merkezi toplama
*.* @@logs.example.com:6514logrotate
logrotate /etc/logrotate.d/ altındaki kurallarla log dosyalarını döndürür. daily/weekly, rotate N, compress, postrotate script.
copytruncate açık dosyayı kopyalayıp sıfırlar; uygulama reload gerektirmez.
/var/log/myapp/*.log {
daily
rotate 30
compress
delaycompress
missingok
notifempty
postrotate
systemctl reload myapp
endscript
}Merkezi Log Toplama
ELK (Elasticsearch, Logstash, Kibana), Loki + Grafana veya Splunk merkezi analiz sağlar. Filebeat/Fluent Bit sunucudan log gönderir.
JSON formatlı loglar parse kolaylığı sağlar. Yapılandırılmış logging üretimde standart olmalıdır.
Logları yalnızca diskte tutmayın; disk dolması üretim kesintisine yol açar.
Güvenlik ve Uyumluluk
Hassas veri (şifre, token) loglanmamalıdır. Log dosyaları uygun izinlerle korunmalı (640, root:adm).
Saklama politikası (retention) yasal gereksinimlere uygun olmalıdır. GDPR/KVKK kapsamında kişisel veri logları denetlenmelidir.
- Persistent journal
- logrotate aktif
- Merkezi toplama
- Hassas veri maskeleme
- Retention politikası
Sonuç
journalctl ve rsyslog birlikte güçlü log altyapısı oluşturur. journald hızlı yerel teşhis, rsyslog uzaktan toplama için idealdir.
Yapılandırılmış log, rotasyon ve merkezi toplama üçlüsünü üretimde zorunlu kılın.