如何使用 journalctl 查看和分析 systemd 日誌(附實例)
本指南介紹了 systemd 的 journalctl 工具及其各種命令的基礎知識。你可以使用這些命令對 Linux 中的桌面和伺服器日誌進行故障診斷。以下是如何使用 journalctl 查看和分析 systemd 日誌的不同例子。
簡介
很多人說 systemd 不好,它對系統的影響很大,這也是一個有爭議的話題。但你不能否認的是,它提供了一套完善的工具來管理和排除系統故障。想像一下,當你遇到一個沒有 GUI 的損壞系統時,你可能會把啟動和 GRUB 弄得一團糟。在這種情況下,你可以從一個 立付 系統啟動,掛上你的 Linux 分區,然後瀏覽 systemd 的日誌,找出問題所在。
systemd 有三個基本組件,如下所示:
systemd
:Linux 操作系統的系統和服務管理器。systemctl
:該命令用於反觀和控制 systemd 系統和服務管理器的狀態。systemd-analyze
:該命令提供系統啟動時的性能統計,並從系統和服務管理器中檢索其他狀態和跟蹤信息。
除了這三個服務外,systemd 還提供其他服務,如 journald、logind、networkd 等。在本指南中,我們將討論 systemd 的 journald 服務。
journald - systemd 日誌服務
根據設計,systemd 提供了一個集中的方式來處理所有來自進程、應用程序等的操作系統日誌。所有這些日誌事件都由 systemd 的 journald 守護進程來處理。journald 守護進程收集所有來自 Linux 操作系統各處的日誌,並將其作為二進位數據存儲在文件中。
以二進位數據集中記錄事件、系統問題的好處有很多。例如,由於系統日誌是以二進位而不是文本形式存儲的,你可以以文本、JSON 對象等多種方式進行轉譯,以滿足各種需求。另外,由於日誌是按順序存儲的,通過對日誌的日期/時間操作,超級容易追蹤到單個事件。
請記住,journald 收集的日誌文件數以千行計,而且不斷更新每次開機、每個事件。因此,如果你有一個長期運行的 Linux 操作系統,日誌的大小應該以 GB 為單位。由於有著數以千計的日誌,最好用基本命令進行過濾,以了解更多系統問題。
journald 配置文件
journald 的配置文件存在於以下路徑中。它包含了關於如何進行日誌記錄的各種標誌。你可以看一下這個文件,並進行必要的修改。但我建議不要修改這個文件,除非你知道自己在做什麼。
/etc/systemd/journald.conf
journald 存儲二進位日誌文件的地方
journald 以二進位格式存儲日誌。它們被保存在這個路徑下的一個目錄中:
/var/log/journal
例如,在下面的路徑中,有一個目錄包含了迄今為止的所有系統日誌。
不要使用 cat
命令,也不要使用 nano
或 vi
來打開這些文件。它們(是二進位的),無法正常顯示。
使用 journalctl 來查看和分析 systemd 日誌
journald 基本命令
查看 journald 日誌的基本命令是:
journalctl
該命令提供了所有應用程序和進程的日誌條目,包括錯誤、警告等。它顯示的列表中,最舊的日誌在頂部,當前的日誌在底部。你需要不斷按回車鍵來逐行滾動瀏覽。你也可以使用 PAGE UP
和 PAGE DOWN
鍵來滾動。按 q
鍵可以退出這個視圖。
如何以不同時區的時間查看日誌條目
默認情況下,journalctl
以當前系統時區顯示日誌的時間。然而,你可以很容易地在命令中提供時區,將同一日誌轉換為不同的時區。例如,要以 UTC 查看日誌,請使用以下命令:
journalctl --utc
如何在日誌中只查看錯誤、警告等信息
系統產生的日誌有不同的優先順序。有些日誌可能是可以忽略的警告,有些可能是重要的錯誤。你可能想只看錯誤,不看警告。這也可以用下面的命令來實現。
要查看緊急系統信息,請使用:
journalctl -p 0
錯誤代碼:
0: 緊急情況
1: 警報
2: 危急
3: 錯誤
4: 警告
5: 通知
6: 信息
7:調試
當你指定錯誤代碼時,它顯示該等級及更高的所有信息。例如,如果你指定下面的命令,它會顯示所有優先順序為 2、1 和 0 的信息:
journalctl -p 2
如何查看特定啟動的日誌
當你運行 journalctl
命令時,它會顯示當前啟動的信息,即你正在運行的會話中的信息。但也可以查看過去的啟動信息。
在每次重啟時,日誌都會持續更新。journald 會記錄不同啟動時的日誌。要查看不同啟動時的日誌,請使用以下命令。
journalctl --list-boots
- 第一個數字顯示的是 journald 的唯一的啟動跟蹤號碼,你可以在下一個命令中使用它來分析該特定的啟動。
- 第二個數字是啟動 ID,你也可以在命令中指定。
- 接下來的兩個日期、時間組合是存儲在相應文件中的日誌的時間。如果你想找出某個特定日期、時間的日誌或錯誤,這就非常方便了。
要查看一個特定的啟動號碼,你可以選擇第一個啟動跟蹤號碼或啟動 ID,如下所示。
journalctl -b -45
journalctl -b 8bab42c7e82440f886a3f041a7c95b98
你也可以使用 -x
選項,在顯示屏上添加 systemd 錯誤信息的解釋。在某些情況下,這是個救命稻草。
journalctl -xb -p 3
如何查看某一特定時間、日期的日誌記錄
journalctl
功能強大,可以在命令中提供類似英語的參數,用於時間和日期操作。
你可以使用 --since
選項與 yesterday
、today
、tomorrow
或 now
組合。
下面是一些不同命令的例子。你可以根據你的需要修改它們。它們是不言自明的。以下命令中的日期、時間格式為 "YYYY-MM-DD HH:MM:SS"
journalctl --since "2020-12-04 06:00:00"
journalctl --since "2020-12-03" --until "2020-12-05 03:00:00"
journalctl --since yesterday
journalctl --since 09:00 --until "1 hour ago"
你也可以將上述內容與錯誤級別開關結合起來。
如何查看內核特定的日誌記錄
Linux 內核信息也可以從日誌中提取出來。要查看當前啟動時的內核信息,請使用以下命令:
journalctl -k
如何查看某個服務、PID 的日誌
你可以從 journald 日誌中過濾出某個 systemd 服務單元的特定日誌。例如,如果要查看 NetworkManager 服務的日誌,請使用下面的命令。
journalctl -u NetworkManager.service
如果你不知道服務名稱,可以使用下面的命令來列出系統中的 systemd 服務。
systemctl list-units --type=service
如何查看用戶、組的日誌
如果你正在分析伺服器日誌,在多個用戶登錄的情況下,這個命令很有幫助。你可以先用下面的命令從用戶名中找出用戶的 ID。例如,要找出用戶 debugpoint
的 ID:
id -u debugpoint
然後使用 _UID
選項指定該 ID 與來查看該用戶產生的日誌。
journalctl _UID=1000 --since today
同樣地,使用 _GID
選項也可以查到用戶組的情況。
如何查看一個可執行文件的日誌
你也可以查看某個特定程序或可執行文件的日誌。例如,如果你想找出 gnome-shell
的信息,你可以運行以下命令。
journalctl /usr/bin/gnome-shell --since today
結束語
希望本指南能幫助你使用 journalctl
查看分析 Linux 桌面或伺服器上的 systemd 日誌,排除故障。如果你知道如何使用這些命令,systemd 日誌管理的功能非常強大,它能讓你在調試時的生活變得輕鬆一些。現在所有主流的 Linux 發行版都使用 systemd。Ubuntu、Debian、Fedora、Arch 它們都使用 systemd 作為其默認的操作系統組件。如果你想了解不使用 systemd 的 Linux發行版,你可能想看看 MX-Linux、Gentoo、Slackware、Void Linux。
via: https://www.debugpoint.com/systemd-journalctl/
作者:Arindam 選題:lkxed 譯者:Chao-zhi 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive