Journald是为Linux服务器打造的新系统日志方式,它标志着文本日志文件的终结。现在日志信息写入到二进制文件,使用journalctl阅读,要获得这些信息,Linux管理员将需要一些实践。 Red Hat Enterprise Linux 7与SUSE Linux Enterprise Server 12这些下一代的Linux发行版本使用systemd管理服务。journal是systemd的一个组件,由journald处理。
它捕获系统日志信息、内核日志信息,以及来自原始RAM磁盘的信息,早期启动信息以及所有服务中写入STDOUT和STDERR数据流的信息。Journald快速改变着服务……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
Red Hat Enterprise Linux 7与SUSE Linux Enterprise Server 12这些下一代的Linux发行版本使用systemd管理服务。journal是systemd的一个组件,由journald处理。它捕获系统日志信息、内核日志信息,以及来自原始RAM磁盘的信息,早期启动信息以及所有服务中写入STDOUT和STDERR数据流的信息。Journald快速改变着服务器如何处理日志信息与管理员如何访问的方式。
对日志文件说再见
在systemd与journald世界中没有日志文件的位置。journald日志写入二进制文件,在红帽系统上,位于/run/log/journal中。你不应该也不能使用页面打开文件。反之,使用journalctl查看内容。该命令显示所有登录到服务器的信息(见表1)。
表1:journalctl输出表默认格式的样子。
Apr 04 09:48:59 localhost.localdomain chronyd[768]: Can't synchronise: no majority
Apr 04 09:50:01 localhost.localdomain systemd[1]: Starting Session 3 of user root.
Apr 04 09:50:01 localhost.localdomain systemd[1]: Started Session 3 of user root.
Apr 04 09:50:01 localhost.localdomain CROND[3699]: (root) CMD (/usr/lib64/sa/sa1 1 1)
Apr 04 09:50:03 localhost.localdomain chronyd[768]: Selected source 46.249.47.127
Apr 04 09:50:03 localhost.localdomain chronyd[768]: System clock wrong by -2.417074 seconds, adjustment started
Apr 04 09:50:36 localhost.localdomain pulseaudio[3163]: [alsa-sink] alsa-sink.c: ALSA woke us up to write new data to the device, but there
Apr 04 09:50:36 localhost.localdomain pulseaudio[3163]: [alsa-sink] alsa-sink.c: Most likely this is a bug in the ALSA driver 'snd_ens1371'.
Apr 04 09:50:36 localhost.localdomain pulseaudio[3163]: [alsa-sink] alsa-sink.c: We were woken up with POLLOUT set -- however a subsequent s
Apr 04 09:51:07 localhost.localdomain chronyd[768]: Selected source 81.171.44.131
Apr 04 09:52:12 localhost.localdomain chronyd[768]: System clock wrong by 0.669116 seconds, adjustment started
Apr 04 09:53:17 localhost.lo
无需担心,journalctl有很多过滤选项。Journalctl -b过滤在启动时产生的信息。Journalctl --since=yesterday只显示自从昨天登录开始的信息。管理员可以从具体的天数范围搜索信息:例如,journalctl --since=2014-03-15 --until="2014-03-17 23:59:59"。使用journalctl -u httpd since=00:00 --until=8:00查看昨晚登录的httpd进程。如果管理员掌握了高级的journald过滤选项,分析日志文件就更加轻松。
某些情况下,journalctl显示的默认日志信息在细节上还不够。要获得更多信息,将输出格式设置为verbose,使用命令journalctl -o verbose -n。
表2:通过显示verbose日志信息,Linux管理员可以从日志文件获取更多信息。
Fri 2014-04-04 10:12:32.072521 CEST [s=a52ddd97575747a18c6378d388b2b9ff;i=955;b=bc03fb52eddb41
b0bb4829ae19c1c286;m=8f1dd 5f2;t=4f633145a58d9;
PRIORITY=6
_UID=0
_GID=0
_BOOT_ID=bc03fb52eddb41b0bb4829ae19c1c286
_MACHINE_ID=1fbfd90ac4fc49919fe1b63d6bcf9097
_HOSTNAME=localhost.localdomain
SYSLOG_FACILITY=3
_TRANSPORT=syslog
_SYSTEMD_CGROUP=/system.slice/network.service
_SYSTEMD_UNIT=network.service
SYSLOG_IDENTIFIER=dhclient
_COMM=dhclient
_EXE=/usr/sbin/dhclient
_CMDLINE=/sbin/dhclient -H localhost -1-q-lf/var/lib/dhclient/dhclient-0b5faf33-6df0-4f11-bbb9-659b5cd940e9-ens33.lease -pf /var/run/
_CAP_EFFECTIVE=0000000000203402
_SELINUX_CONTEXT=system_u:system_r:dhcpc_t:s0
SYSLOG_PID=1760
_PID=1760
MESSAGE=bound to 192.168.4.232 -- renewal in 892 seconds.
_SOURCE_REALTIME_TIMESTAMP=1396599152072521
Logrotate与远程日志
你所习惯的一些运作方式发生了变化。关闭与归档日志文件的系统Logrotate变得日益巨大。在journald上,没有必要循环日志文件。它构建的目的在于监控存储卷上的剩余空间。如果卷快满了,就删除旧有记录释放空间。要为journald日志设置一个最大尺寸,在/etc/systemd/journal.conf文件中修改SystemMaxUse参数。
远程日志又是另一回事了。如果你的数据中心有一个远程日志服务器,那就应该保留。journald不是对集中日志服务器,如rsyslog或syslog-ng do的完全替代。Journald没有将来自其他服务器或设备的日志文件进行替代的选项。也没有指定哪台日志服务器的日志事件可以转发的选项。如果你想要journald在其他地方存放日志信息,最佳做法是将信息转发给[r]syslog[{d-ng}],在这里处理集中的日志。
翻译
相关推荐
-
最值得考虑的两大Linux备份工具:Amanda和Bacula
本文介绍最值得考虑的Linux备份工具:Amanda和Bacula。Amanda是市场上最早开放源码的Linux备份工具之一。Bacula是一套免费的备份程序,允许管理员管理跨异构网络的备份、恢复和数据验证。
-
Linux网络连接有问题?Ping工具来帮忙
如果网络发生了故障,那么所有其他的(服务)都会出现故障。管理员可以使用Ping工具来帮助自己让掉线的Linux服务器重新上线。
-
Windows管理员需要知道的Linux技巧
随着科技界的模式持续改变,Windows管理员还将继续接触和接受越来越多的Linux服务器。本文将帮助Windows管理员们快速熟悉Linux相关知识。
-
关于apt-get:非Linux管理员应该知道的那些事
Apt-get是广泛应用在Unix和Linux系统中的应用程序管理器,Windows和Linux管理员也可以受益于其功能。