Linux服务器管理员Journald初级指南

日期: 2014-05-28 翻译:唐琼瑶 来源:TechTarget中国 英文

Journald是为Linux服务器打造的新系统日志方式,它标志着文本日志文件的终结。现在日志信息写入到二进制文件,使用journalctl阅读,要获得这些信息,Linux管理员将需要一些实践。 Red Hat Enterprise Linux 7与SUSE Linux Enterprise Server 12这些下一代的Linux发行版本使用systemd管理服务。journal是systemd的一个组件,由journald处理。

它捕获系统日志信息、内核日志信息,以及来自原始RAM磁盘的信息,早期启动信息以及所有服务中写入STDOUT和STDERR数据流的信息。Journald快速改变着服务……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

Journald是为Linux服务器打造的新系统日志方式,它标志着文本日志文件的终结。现在日志信息写入到二进制文件,使用journalctl阅读,要获得这些信息,Linux管理员将需要一些实践。

Red Hat Enterprise Linux 7与SUSE Linux Enterprise Server 12这些下一代的Linux发行版本使用systemd管理服务。journal是systemd的一个组件,由journald处理。它捕获系统日志信息、内核日志信息,以及来自原始RAM磁盘的信息,早期启动信息以及所有服务中写入STDOUT和STDERR数据流的信息。Journald快速改变着服务器如何处理日志信息与管理员如何访问的方式。

对日志文件说再见


在systemd与journald世界中没有日志文件的位置。journald日志写入二进制文件,在红帽系统上,位于/run/log/journal中。你不应该也不能使用页面打开文件。反之,使用journalctl查看内容。该命令显示所有登录到服务器的信息(见表1)。

表1:journalctl输出表默认格式的样子。

Apr 04 09:48:59 localhost.localdomain chronyd[768]: Can't synchronise: no majority

Apr 04 09:50:01 localhost.localdomain systemd[1]: Starting Session 3 of user root.

Apr 04 09:50:01 localhost.localdomain systemd[1]: Started Session 3 of user root.

Apr 04 09:50:01 localhost.localdomain CROND[3699]: (root) CMD (/usr/lib64/sa/sa1 1 1)

Apr 04 09:50:03 localhost.localdomain chronyd[768]: Selected source 46.249.47.127

Apr 04 09:50:03 localhost.localdomain chronyd[768]: System clock wrong by -2.417074 seconds, adjustment started

Apr 04 09:50:36 localhost.localdomain pulseaudio[3163]: [alsa-sink] alsa-sink.c: ALSA woke us up to write new data to the device, but there

Apr 04 09:50:36 localhost.localdomain pulseaudio[3163]: [alsa-sink] alsa-sink.c: Most likely this is a bug in the ALSA driver 'snd_ens1371'.

Apr 04 09:50:36 localhost.localdomain pulseaudio[3163]: [alsa-sink] alsa-sink.c: We were woken up with POLLOUT set -- however a subsequent s

Apr 04 09:51:07 localhost.localdomain chronyd[768]: Selected source 81.171.44.131

Apr 04 09:52:12 localhost.localdomain chronyd[768]: System clock wrong by 0.669116 seconds, adjustment started

Apr 04 09:53:17 localhost.lo

无需担心,journalctl有很多过滤选项。Journalctl -b过滤在启动时产生的信息。Journalctl --since=yesterday只显示自从昨天登录开始的信息。管理员可以从具体的天数范围搜索信息:例如,journalctl --since=2014-03-15 --until="2014-03-17 23:59:59"。使用journalctl -u httpd since=00:00 --until=8:00查看昨晚登录的httpd进程。如果管理员掌握了高级的journald过滤选项,分析日志文件就更加轻松。

某些情况下,journalctl显示的默认日志信息在细节上还不够。要获得更多信息,将输出格式设置为verbose,使用命令journalctl -o verbose -n。

表2:通过显示verbose日志信息,Linux管理员可以从日志文件获取更多信息。

Fri 2014-04-04 10:12:32.072521 CEST [s=a52ddd97575747a18c6378d388b2b9ff;i=955;b=bc03fb52eddb41
b0bb4829ae19c1c286;m=8f1dd 5f2;t=4f633145a58d9;

 PRIORITY=6

 _UID=0

 _GID=0

 _BOOT_ID=bc03fb52eddb41b0bb4829ae19c1c286

 _MACHINE_ID=1fbfd90ac4fc49919fe1b63d6bcf9097

 _HOSTNAME=localhost.localdomain

 SYSLOG_FACILITY=3

 _TRANSPORT=syslog

 _SYSTEMD_CGROUP=/system.slice/network.service

 _SYSTEMD_UNIT=network.service

 SYSLOG_IDENTIFIER=dhclient

 _COMM=dhclient

 _EXE=/usr/sbin/dhclient

 _CMDLINE=/sbin/dhclient -H localhost -1-q-lf/var/lib/dhclient/dhclient-0b5faf33-6df0-4f11-bbb9-659b5cd940e9-ens33.lease -pf /var/run/

 _CAP_EFFECTIVE=0000000000203402

 _SELINUX_CONTEXT=system_u:system_r:dhcpc_t:s0

 SYSLOG_PID=1760

 _PID=1760

 MESSAGE=bound to 192.168.4.232 -- renewal in 892 seconds.

 _SOURCE_REALTIME_TIMESTAMP=1396599152072521

Logrotate与远程日志


你所习惯的一些运作方式发生了变化。关闭与归档日志文件的系统Logrotate变得日益巨大。在journald上,没有必要循环日志文件。它构建的目的在于监控存储卷上的剩余空间。如果卷快满了,就删除旧有记录释放空间。要为journald日志设置一个最大尺寸,在/etc/systemd/journal.conf文件中修改SystemMaxUse参数。

远程日志又是另一回事了。如果你的数据中心有一个远程日志服务器,那就应该保留。journald不是对集中日志服务器,如rsyslog或syslog-ng do的完全替代。Journald没有将来自其他服务器或设备的日志文件进行替代的选项。也没有指定哪台日志服务器的日志事件可以转发的选项。如果你想要journald在其他地方存放日志信息,最佳做法是将信息转发给[r]syslog[{d-ng}],在这里处理集中的日志。

相关推荐