目录
1 简介
在Linux系统中,journal是systemd的一个组件,由journald处理。它的主要作用是捕获系统日志信息、内核日志信息,以及来自原始RAM磁盘的信息,早期启动信息以及所有服务中写入STDOUT和STDERR数据流的信息。这些日志信息被写入到二进制文件中,可以使用journalctl工具进行查询和阅读。
journal可以说是为Linux服务器打造的一种新系统日志方式,它提供了一个集中化的管理方案,从而统一打理全部内核及用户级进程的日志信息。这有助于系统管理员更方便地查看和分析系统的运行状况,以及进行故障排除和问题定位。
同时,journal也涉及到日志持久化的问题。由于日志文件对系统的运行和调试至关重要,因此需要通过持久化机制确保这些日志信息的可靠性和完整性。
需要注意的是,journal只是Linux系统中日志管理的一部分,不同的程序和服务可能使用不同的日志记录格式和管理方式。因此,在实际使用中,需要根据具体的系统环境和需求来选择合适的日志管理方案。
2 语法
命令格式为:
journalctl [OPTIONS…] [MATCHES…]常用选项:
-f : 实时跟新显示
-n [#] : 显示最近#行日志,默认为10
-o verbose : 查看日志详细参数,-o 后可以指定其他显示格式,默认short格式
-x, --catalog:
在日志的输出中增加一些解释性的短文本, 以帮助进一步说明日志的含义、
-e, --pager-end
在分页工具内立即跳转到日志的尾部。 此选项隐含了 -n 1000
以确保分页工具不必缓存太多的日志行。 不过这个隐含的行数可以被明确设置的 -n选项覆盖
-b [#] :
显示当前启动或指定的启动,如果#为正数,将从日志头开始正向查找
如果为负数或为零,将从日志尾开始反向查找
"-b 1" 表示按时间顺序第一次启动日志
"-b 2" 表示第二次启动日志
"-b 0" 表示最后一次启动
"-b -1" 表示最近第二次启动
--list-boots :列出每次启动的 序号(也就是相对于本次启动的偏移量)
-k : 仅显示内核日志
-u [UNIT|PATTERN] :
显示指定服务unit的日志或者符合 PATTERN模式的单元,如 sshd.service
这相当于添加了一个 "_SYSTEMD_UNIT=UNIT" 匹配项,或一组PATTERN 匹配项
-p [PRIORITY] :
显示具有指定优先级的条目,根据日记级别显示
日志等级数字与其名称之间的对应关系如下:
0: emerg
1: alert
2: crit
3: err
4: warning
5: notice
6: info
7: debug
-S/--since 'time' :
显示从指定时间开始的日志
参数的格式类似 "2012-10-30 18:17:16" 这样
如果省略了"时:分:秒"部分,则相当于设为 "00:00:00"
除了"年-月-日 时:分:秒"格式,参数还可以进行如下设置:
(1)设为 "yesterday", "today", "tomorrow"以表示那一天的零点(00:00:00)
(2)设为 "now" 以表示当前时间
(3)可以在"年-月-日 时:分:秒"前加上 "-"(前移) 或 "+"(后移)前缀以表示相对于当前时间的偏移。
-U/--until 'time' : 显示到指定时间内的日志
--system,--user
仅显示系统服务与内核的日志(--system)、 仅显示当前用户的日志(--user)
如果两个选项都未指定,则显示当前用户的所有可见日志
--disk-usage
此选项并不用于显示日志内容,
而是用于显示所有日志文件(归档文件与活动文件)的磁盘占用总量
--vacuum-size=, --vacuum-time=, --vacuum-files=
这些选项并不用于显示日志内容,
而是用于清理日志归档文件(并不清理活动的日志文件), 以释放磁盘空间。
--vacuum-size= 可用于限制归档文件的最大磁盘使用量 (可以使用 "K", "M", "G", "T"
后缀)
--vacuum-time= 可用于清除指定时间之前的归档 (可以使用 "s", "m", "h",
"days", "weeks", "months", "years" 后缀);
--vacuum-files=可用于限制日志归档文件的最大数量
注意,--vacuum-size= 对 --disk-usage的输出仅有间接效果
因为 --disk-usage 输出的是归档日志与活动日志的总量
同样,--vacuum-files= 也未必一定会减少日志文件的总数,因为它同样仅作用于归档文件而不会删除活动的日志文件。
此三个选项可以同时使用,以同时从三个维度去限制归档文件。
若将某选项设为零,则表示取消此选项的限制。3 常用示例
只查看内核日志
journalctl -k查看系统启动日志
# 最近一次启动日志
journalctl -b# 上一次启动日志
journalctl -b -1查看指定时间的日志
# 显示 2020-10-30日 18点30分30秒到当前时间之间的所有日志信息
journalctl --since="2020-10-30 18:30:30"# 获取从昨天到现在的日志
journalctl --since yesterday# 获取某一个时间段到当前时间的前一个小时的日志
journalctl --since 09:00 --until "1 hour ago"# 获取当前时间的前20分钟的ssh服务日志
journalctl --since "20 min ago" -u sshd.service# 获取某一天到某一个时间段的日志信息
journalctl --since "2021-05-05" --until "2021-05-05 03:00"显示尾部指定行数日志
# 显示尾部20行日志
journalctl -n 20实时滚动显示最新日志
journalctl -f查看某个 Unit 的日志
# 查看nginx服务日志
journalctl -u nginx.service
journalctl -u nginx.service --since today
journalctl -u nginx.service -f# 合并显示多个 Unit 的日志
journalctl -u nginx.service -u php-fpm.service --since today查看指定进程的日志
journalctl _PID=1查看某个路径的脚本的日志
journalctl /usr/bin/bash显示日志占据的硬盘空间
journalctl --disk-usage指定日志文件占据的最大空间
journalctl --vacuum-size=1G指定日志文件保存多久
journalctl --vacuum-time=1years4 journalctl相关配置
1、限定journal体积的膨胀速度
SystemMaxUse=: 指定journal所能使用的最高持久存储容量。
SystemKeepFree=: 指定journal在添加新条目时需要保留的剩余空间。
SystemMaxFileSize=: 控制单一journal文件大小,符合要求方可被转为持久存储。
RuntimeMaxUse=: 指定易失性存储中的最大可用磁盘容量(/run文件系统之内)。
RuntimeKeepFree=: 指定向易失性存储内写入数据时为其它应用保留的空间量(/run文件系统之内)。
RuntimeMaxFileSize=: 指定单一journal文件可占用的最大易失性存储容量(/run文件系统之内)。
通过设置上述值,大家可以控制journald对服务器空间的消耗及保留方式。
2、日志持久化
默认此程序只负责对日志进行查看而不能对日志进行保存和采集,那么关机后再开机(重启),只能查看到开机后的日志, 因为系统之前的日志是保存在内存中的,所以关机后就被清空了,那么再开机时用journalctl是看不到的之前的日志信息的
可以在/etc/systemd/journald.conf文件中调整systemd-journald服务的配置设置,以使日志在重新引导后仍然存在,
配置Systemd Journald
要将systemd-journald服务配置为在重新启动后永久保留系统日志,您需要将Storage设置为persistent。
可以为Storage参数设置的其他值是:
[1]、persistent:将日志存储在/var/log/journal目录中,该目录在重新启动后仍然存在。
[2]、volatile:将日记存储在volatile/run/log/journal目录中,这不会导致系统重启。
[3]、auto:rsyslog将确定使用持久性存储(persistent)还是易失性存储(volatile)
如果存在/var/log/journal目录,则rsyslog使用持久性存储,否则使用易失性存储。
实现永久存储方式:
方式1、修改 /etc/systemd/journald.conf
[Journal]
Storage=persistent提交更改后,请重新启动systemd-journald服务以使配置更改生效:
sudo systemctl restart systemd-journald
方式2、创建/var/log/journal目录
mkdir -p /var/log/journal systemctl restart systemd-journald