📅 最后修改于: 2020-10-31 13:38:38 🧑 作者: Mango
systemd更改了CentOS Linux管理系统日志记录的方式。日志记录不是将系统中的每个守护程序将日志放置到单独的位置,而是使用诸如tail或grep之类的工具作为对日志条目进行排序和过滤的主要方式,而是为分析系统日志带来了一个管理点。
systemd日志背后的主要组件是:journal,jounralctl和journald.conf
journald是主要的日志记录守护程序,通过编辑journald.conf进行配置,而journalctl用于分析journaled记录的事件。
日志记录的事件包括:内核事件,用户进程和守护程序服务。
在使用journalctl之前,我们需要确保将系统时间设置为正确的时间。为此,我们要使用timedatectl 。
让我们检查当前系统时间。
[root@centos rdc]# timedatectl status
Local time: Mon 2017-03-20 00:14:49 MDT
Universal time: Mon 2017-03-20 06:14:49 UTC
RTC time: Mon 2017-03-20 06:14:49
Time zone: America/Denver (MDT, -0600)
NTP enabled: yes
NTP synchronized: yes
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2017-03-12 01:59:59 MST
Sun 2017-03-12 03:00:00 MDT
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2017-11-05 01:59:59 MDT
Sun 2017-11-05 01:00:00 MST
[root@centos rdc]#
当前,系统对本地时区是正确的。如果您的系统不是,请设置正确的时区。更改设置后,CentOS将自动计算与当前时区的时区偏移量,并立即调整系统时钟。
让我们用timedatectl列出所有时区-
[root@centos rdc]# timedatectl list-timezones
Africa/Abidjan
Africa/Accra
Africa/Addis_Ababa
Africa/Algiers
Africa/Asmara
Africa/Bamako
Africa/Bangui
Africa/Banjul
Africa/Bissau
那是timedatectl list-timezones的竞争输出。要查找特定的本地时区,可以使用grep命令-
[root@centos rdc]# timedatectl list-timezones | grep -i "america/New_York"
America/New_York
[root@centos rdc]#
CentOS使用的标签通常是带有下划线而不是空格的国家(地区)(New_York与“ New York”)。
现在让我们设置时区-
[root@centos rdc]# timedatectl set-timezone "America/New_York"
[root@centos rdc]# date
Mon Mar 20 02:28:44 EDT 2017
[root@centos rdc]#
您的系统时钟应自动调整时间。
使用journalctl时的常见命令行开关-
| Switch | Action |
|---|---|
| -k | Lists only kernel messages |
| -u | Lists by specific unit (httpd, sshd, etc…) |
| -b | Boots the label offset |
| -o | Logs the output format |
| -p | Filters by log type (either name or number) |
| -F | Fieldname or fieldnamevalue |
| –utc | Time in UTC offset |
| –since | Filter by timeframe |
首先,我们将检查并配置CentOS Linux中的启动日志。您会注意到的第一件事是,默认情况下,CentOS不存储在重新启动后保持持久的启动日志。
要检查每个重新启动实例的启动日志,我们可以发出以下命令-
[root@centos rdc]# journalctl --list-boots
-4 bca6380a31a2463aa60ba551698455b5 Sun 2017-03-19 22:01:57 MDT—Sun 2017-03-19 22:11:02 MDT
-3 3aaa9b84f9504fa1a68db5b49c0c7208 Sun 2017-03-19 22:11:09 MDT—Sun 2017-03-19 22:15:03 MDT
-2 f80b231272bf48ffb1d2ce9f758c5a5f Sun 2017-03-19 22:15:11 MDT—Sun 2017-03-19 22:54:06 MDT
-1 a071c1eed09d4582a870c13be5984ed6 Sun 2017-03-19 22:54:26 MDT—Mon 2017-03-20 00:48:29 MDT
0 9b4e6cdb43b14a328b1fa6448bb72a56 Mon 2017-03-20 00:48:38 MDT—Mon 2017-03-20 01:07:36 MDT
[root@centos rdc]#
重新启动系统后,我们可以看到另一个条目。
[root@centos rdc]# journalctl --list-boots
-5 bca6380a31a2463aa60ba551698455b5 Sun 2017-03-19 22:01:57 MDT—Sun 2017-03-19 22:11:02 MDT
-4 3aaa9b84f9504fa1a68db5b49c0c7208 Sun 2017-03-19 22:11:09 MDT—Sun 2017-03-19 22:15:03 MDT
-3 f80b231272bf48ffb1d2ce9f758c5a5f Sun 2017-03-19 22:15:11 MDT—Sun 2017-03-19 22:54:06 MDT
-2 a071c1eed09d4582a870c13be5984ed6 Sun 2017-03-19 22:54:26 MDT—Mon 2017-03-20 00:48:29 MDT
-1 9b4e6cdb43b14a328b1fa6448bb72a56 Mon 2017-03-20 00:48:38 MDT—Mon 2017-03-20 01:09:57 MDT
0 aa6aaf0f0f0d4fcf924e17849593d972 Mon 2017-03-20 01:10:07 MDT—Mon 2017-03-20 01:12:44 MDT
[root@centos rdc]#
现在,让我们检查最后一个启动日志记录实例-
root@centos rdc]# journalctl -b -5
-- Logs begin at Sun 2017-03-19 22:01:57 MDT, end at Mon 2017-03-20 01:20:27 MDT. --
Mar 19 22:01:57 localhost.localdomain systemd-journal[97]: Runtime journal is using 8.0M
(max allowed 108.4M
Mar 19 22:01:57 localhost.localdomain kernel: Initializing cgroup subsys cpuset
Mar 19 22:01:57 localhost.localdomain kernel: Initializing cgroup subsys cpu
Mar 19 22:01:57 localhost.localdomain kernel: Initializing cgroup subsys cpuacct
Mar 19 22:01:57 localhost.localdomain kernel: Linux version 3.10.0514.6.2.el7.x86_64
(builder@kbuilder.dev.
Mar 19 22:01:57 localhost.localdomain kernel: Command line:
BOOT_IMAGE=/vmlinuz-3.10.0-514.6.2.el7.x86_64 ro
Mar 19 22:01:57 localhost.localdomain kernel: Disabled fast string operations
Mar 19 22:01:57 localhost.localdomain kernel: e820: BIOS-provided physical RAM map:
上面是我们上次引导的压缩输出。我们还可以参考数小时,数天,数周,数月甚至数年的启动日志。但是,默认情况下,CentOS不存储持久启动日志。要启用持久性存储启动日志,我们需要进行一些配置更改-
最初的地方journald将要存储持久性启动日志是/ var /日志/日记。由于默认情况下不存在,所以我们创建它-
[root@centos rdc]# mkdir /var/log/journal
现在,让我们赋予目录适当的权限日记日志守护程序访问权限-
systemd-tmpfiles --create --prefix /var/log/journal
最后,让我们告诉日记中它应该存储持久启动日志。在vim或您喜欢的文本编辑器中,打开/etc/systemd/jounrald.conf“ 。
# See journald.conf(5) for details.
[Journal]=Storage=peristent
我们关注的行是Storage = 。首先删除注释# ,然后如上所述更改为Storage =持久性。保存并重新启动您的CentOS系统,并在运行journalctl list-boots时注意应该有多个条目。
注–不断变化的机器ID(例如来自VPS提供程序的机器ID)可能会导致日记记录在存储持久启动日志时失败。对于这种情况有很多解决方法。最好仔细阅读发布在CentOS管理员论坛上的最新补丁,而不要遵循发现合理的VPS解决方法的人的可信赖建议。
要检查特定的引导日志,我们只需要使用日记的–list-boots -b开关获取偏移量即可。所以要检查第二个启动日志,我们将使用-
journalctl -b -2
没有指定启动日志偏移量的-b的默认值将始终是上次重新启动后的当前启动日志。
来自日记的事件被编号并归类为7种不同的类型-
0 - emerg :: System is unusable
1 - alert :: Action must be taken immediatly
2 - crit :: Action is advised to be taken immediatly
3 - err :: Error effecting functionality of application
4 - warning :: Usually means a common issue that can affect security or usilbity
5 - info :: logged informtation for common operations
6 - debug :: usually disabled by default to troubleshoot functionality
因此,如果我们想查看所有警告,可以通过journalctl发出以下命令-
[root@centos rdc]# journalctl -p 4
-- Logs begin at Sun 2017-03-19 22:01:57 MDT, end at Wed 2017-03-22 22:33:42 MDT. --
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: RSDP 00000000000f6a10 00024
(v02 PTLTD )
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: XSDT 0000000095eea65b 0005C
(v01 INTEL 440BX 06040000 VMW 01
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: FACP 0000000095efee73 000F4
(v04 INTEL 440BX 06040000 PTL 00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: DSDT 0000000095eec749 1272A
(v01 PTLTD Custom 06040000 MSFT 03
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: FACS 0000000095efffc0 00040
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: BOOT 0000000095eec721 00028
(v01 PTLTD $SBFTBL$ 06040000 LTP 00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: APIC 0000000095eeb8bd 00742
(v01 PTLTD ? APIC 06040000 LTP 00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: MCFG 0000000095eeb881 0003C
(v01 PTLTD $PCITBL$ 06040000 LTP 00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: SRAT 0000000095eea757 008A8
(v02 VMWARE MEMPLUG 06040000 VMW 00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: HPET 0000000095eea71f 00038
(v01 VMWARE VMW HPET 06040000 VMW 00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: WAET 0000000095eea6f7 00028
(v01 VMWARE VMW WAET 06040000 VMW 00
Mar 19 22:01:57 localhost.localdomain kernel: Zone ranges:
Mar 19 22:01:57 localhost.localdomain kernel: DMA [mem 0x000010000x00ffffff]
Mar 19 22:01:57 localhost.localdomain kernel: DMA32 [mem 0x010000000xffffffff]
Mar 19 22:01:57 localhost.localdomain kernel: Normal empty
Mar 19 22:01:57 localhost.localdomain kernel: Movable zone start for each node
Mar 19 22:01:57 localhost.localdomain kernel: Early memory node ranges
Mar 19 22:01:57 localhost.localdomain kernel: node 0: [mem 0x000010000x0009dfff]
Mar 19 22:01:57 localhost.localdomain kernel: node 0: [mem 0x001000000x95edffff]
Mar 19 22:01:57 localhost.localdomain kernel: node 0: [mem 0x95f000000x95ffffff]
Mar 19 22:01:57 localhost.localdomain kernel: Built 1 zonelists in Node order,
mobility grouping on. Total pages: 60
Mar 19 22:01:57 localhost.localdomain kernel: Policy zone: DMA32
Mar 19 22:01:57 localhost.localdomain kernel: ENERGY_PERF_BIAS: Set to
'normal', was 'performance'
上面显示了系统过去4天的所有警告。
使用systemd查看和细读日志的新方法几乎不需要实践和研究就可以熟悉。但是,由于具有不同的输出格式,并且要特别注意使所有打包的守护程序日志通用,因此值得接受。 journald提供了极大的灵活性和效率比传统的日志分析方法。