在Systemd出现之前,Linux系统及各应用的日志都是分别管理的,Systemd开始统一管理了所有Unit的启动日志,
systemd-journald 服务是 systemd init 系统提供的收集系统日志的服务,
这样带来的好处是只用一个journalctl命令,就可以查看所有内核和应用的日志。
systemd-journald 服务收集到的日志默认保存在 /run/log 目录中,重启系统会丢掉以前的日志信息。
journalctl 命令格式为:journalctl [OPTIONS…] [MATCHES…]
journalctl 命令的路径为:/bin/journalctl
一、基本用法
journalctl -h 查看基本用法参数说明;
journalctl [-b] 查看所有日志,默认显示本次启动的所有日志,基本不用,因为太多了;
journalctl -k 查看内核日志;
journalctl -u 查看指定服务的日志;
journalctl --since --until 查看指定时间的日志,时间格式为"2020-05-13 13:14:00";
journalctl -n 指定显示最近的多少行,默认为10行;
journalctl -f 持续监控日志输出;
journal --no-pager 设置不分页显示;
journalctl -p 查看指定级别的日志;
操作系统提供了从0 (emerg) 到 7 (debug) 一共7个级别的日志,含义如下:
0: emerg
1: alert
2: crit
3: err
4: warning
5: notice
6: info
7: debug
journal -o 设置输出格式,支持的各种格式如下:
cat: 只显示信息字段本身。
export: 适合传输或备份的二进制格式。
json: 标准JSON,每行一个条目。
json-pretty: JSON格式,适合人类阅读习惯。
json-sse: JSON格式,经过打包以兼容server-sent事件。
short: 默认syslog类输出格式。
short-iso: 默认格式,强调显示ISO 8601挂钟时间戳。
short-monotonic: 默认格式,提供普通时间戳。
short-precise: 默认格式,提供微秒级精度。
verbose: 显示该条目的全部可用journal字段,包括通常被内部隐藏的字段。
除了以上参数外,我们可以通过 "FIELD=VALUE" 的格式来匹配具体的日志记录,如_PID=1,也可以指定多个field或相同field的多个值来限制筛选;
日志信息的定义也类似一个实体类型,具体的信息被保存在各个对应的字段中,比如 MESSAGE、MESSAGE_ID、_PID、_UID 、_HOSTNAME、_SYSTEMD_UNIT 等等,
通过 man systemd.journal-fields 查看所有可以用来过滤的字段,对于用来筛选的字段,可以使用-F参数来查看所有可以用来过滤的值,例如 journalctl -F _PID。
二、维护和配置
journalctl --disk-usage 查看日志占用的磁盘空间;
journalctl --vacuum-size=500M 设置日志占用的空间;
journalctl --vacuum-time=1month 设置日志保存的时间;
上面的一些维护动作,也可以通过配置参数设置,配置文件为/etc/systemd/journald.conf,常用参数如下:
SystemMaxUse=:指定journal所能使用的最高持久存储容量。
SystemKeepFree=:指定journal在添加新条目时需要保留的剩余空间。
SystemMaxFileSize=:控制单一journal文件大小,符合要求方可被转为持久存储。
RuntimeMaxUse=:指定易失性存储中的最大可用磁盘容量(/run文件系统之内)。
RuntimeKeepFree=:指定向易失性存储内写入数据时为其它应用保留的空间量(/run文件系统之内)。
RuntimeMaxFileSize=:指定单一journal文件可占用的最大易失性存储容量(/run文件系统之内)
通过设置上述值,大家可以控制 systemd-journald 服务对服务器空间的消耗及保留方式。
