大家好,又见面了,我是你们的朋友全栈君。
systemd 提供了自己的日志系统(logging system),称为 journal。使用 systemd 日志,无需额外安装日志服务(syslog)。读取日志的命令:
# journalctl
默认情况下(当 Storage= 在文件 /etc/systemd/journald.conf 中被设置为 auto),日志记录将被写入 /var/log/journal/。该目录是 systemd 软件包的一部分。若被删除,systemd 不会自动创建它,直到下次升级软件包时重建该目录。如果该目录缺失,systemd 会将日志记录写入 /run/systemd/journal。这意味着,系统重启后日志将丢失。
Systemd 日志事件提示信息的记录安装优先级和更能进行分离,符合经典的 BSD syslog 协议风格(维基百科,RFC 5424)。
过滤输出
journalctl可以根据特定字段过滤输出。如果过滤的字段比较多,需要较长时间才能显示出来。
示例:
显示本次启动后的所有日志:
# journalctl -b
不过,一般大家更关心的不是本次启动后的日志,而是上次启动时的(例如,刚刚系统崩溃了)。可以使用 -b 参数:
journalctl -b -0显示本次启动的信息journalctl -b -1显示上次启动的信息journalctl -b -2显示上上次启动的信息journalctl -b -2- 只显示错误、冲突和重要告警信息
# journalctl -p err..alert也可以使用数字,
journalctl -p 3..1。If single number/keyword used,journalctl -p 3– all higher priority levels also included.
- 显示从某个日期 ( 或时间 ) 开始的消息:
# journalctl --since="2012-10-30 18:17:16" - 显示从某个时间 ( 例如 20分钟前 ) 的消息:
# journalctl --since "20 min ago" - 显示最新信息
# journalctl -f - 显示特定程序的所有消息:
# journalctl /usr/lib/systemd/systemd - 显示特定进程的所有消息:
# journalctl _PID=1 - 显示指定单元的所有消息:
# journalctl -u netcfg - 显示内核环缓存消息r:
# journalctl -k - Show auth.log equivalent by filtering on syslog facility:
# journalctl -f -l SYSLOG_FACILITY=10
详情参阅journalctl(1)、systemd.journal-fields(7),以及 Lennert 的这篇博文。
日志大小限制
如果按上面的操作保留日志的话,默认日志最大限制为所在文件系统容量的 10%,即:如果 /var/log/journal 储存在 50GiB 的根分区中,那么日志最多存储 5GiB 数据。可以修改配置文件指定最大限制。如限制日志最大 50MiB:
/etc/systemd/journald.conf
SystemMaxUse=50M
还可以通过配置片段而不是全局配置文件进行设置:
/etc/systemd/journald.conf.d/00-journal-size.conf
[Journal] SystemMaxUse=50M
详情参见 journald.conf(5).
配合 syslog 使用
systemd 提供了 socket /run/systemd/journal/syslog,以兼容传统日志服务。所有系统信息都会被传入。要使传统日志服务工作,需要让服务链接该 socket,而非 /dev/log(官方说明)。Arch 软件仓库中的 syslog-ng 已经包含了需要的配置。
journald.conf 使用 no 转发socket . 为了使 syslog-ng 配合 journald , 你需要在 /etc/systemd/journald.conf 中设置 ForwardToSyslog=yes . 参阅 Syslog-ng#Overview了解更多细节.
如果你选择使用 rsyslogAUR , 因为 rsyslog 从日志中 直接 传出消息,所以不再必要改变那个选项..
设置开机启动 syslog-ng:
# systemctl enable syslog-ng
这里有一份很不错的 journalctl 指南。
手动清理日志
/var/log/journal 存放着日志, rm 应该能工作. 或者使用journalctl,
例如:
- 清理日志使总大小小于 100M:
# journalctl --vacuum-size=100M - 清理最早两周前的日志.
# journalctl --vacuum-time=2weeks
参阅 journalctl(1) 获得更多信息.
Journald in conjunction with syslog
Compatibility with a classic, non-journald aware syslog implementation can be provided by letting systemd forward all messages via the socket /run/systemd/journal/syslog. To make the syslog daemon work with the journal, it has to bind to this socket instead of /dev/log (official announcement).
As of systemd 216 the default journald.conf for forwarding to the socket was changed to ForwardToSyslog=no to avoid system overhead, because rsyslog or syslog-ng (since 3.6) pull the messages from the journal by itself.
See Syslog-ng#Overview and Syslog-ng#syslog-ng and systemd journal, or rsyslog respectively, for details on configuration.
转发 journald 到 /dev/tty12
建立一个 drop-in directory[broken link: invalid section] /etc/systemd/journald.conf.d 然后在其中建立 fw-tty12.conf :
/etc/systemd/journald.conf.d/fw-tty12.conf
[Journal] ForwardToConsole=yes TTYPath=/dev/tty12 MaxLevelConsole=info
然后重新启动 systemd-journald.
查看特定位置的日志
有时你希望查看另一个系统上的日志.例如从 Live 环境修复现存的系统.
这种情况下你可以挂载目标系统 ( 例如挂载到 /mnt ),然后用 -D/--directory 参数指定目录,像这样:
$ journalctl -D /mnt/var/log/journal -xe
转载于:https://www.cnblogs.com/Alexzzzz/p/8766714.html
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/142114.html原文链接:https://javaforall.net
