systemd-journal(三)之systemd.journal-fields

已于 2024-03-27 16:31:32 修改
阅读量745 收藏 10
点赞数 15
分类专栏: 运维 linux systemd 文章标签: 数据库 linux journal journal-fields
于 2024-03-27 16:28:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40804558/article/details/137079695
版权
linux 同时被 3 个专栏收录
26 篇文章 0 订阅
订阅专栏
运维
23 篇文章 0 订阅
订阅专栏
systemd
6 篇文章 0 订阅
订阅专栏

文章目录

写在前面

本文主要是详细介绍了systemd.journal-fields ,主要翻译自英文原文文档(develop版本,截止到文章记录,最新版本是systemd 255)。以及增加了一些使用示例。
主要是以下页面的翻译:
https://www.freedesktop.org/software/systemd/man/latest/systemd.journal-fields.html#
其他相关文档请参考:systemd专栏
在这里插入图片描述
在这里插入图片描述

概述

systemd.journal-fields ---- 特殊日志字段

日志中的记录(由 systemd-journald.service(8) 编写)在语法上类似于 UNIX 进程环境块,但字段值可能包含二进制数据,并且允许使用非唯一字段名称。

字段值主要是格式化的 UTF-8 文本字符串 —— 二进制编码仅在格式化为 UTF-8 文本字符串没有意义的情况下使用。新字段可以由应用程序自由定义,但少数字段具有特殊含义,如下所示。

通常,每个日志记录的字段可能只出现一次,但也有特殊的例外情况:某些字段可能每个记录出现多次,在这种情况下,下面明确提到这一点。

尽管日志记录子系统对接受非唯一值的字段没有限制,但强烈建议避免对下面列出的字段依赖此值(除非另有说明,如前所述),以避免与其他应用程序不必要的不兼容。

用户日志字段(User Journal Fields)

用户字段是直接从客户端传递并存储在日志中的字段。

MESSAGE=

此记录是人类可读消息字符串。这应该是向用户显示的主要文本。它通常不会被翻译(但在某些情况下可能会翻译),并且不应该被解析为元数据。

为了在单个日志记录中对多行进行编码,请用换行符(ASCII 代码 10)分隔它们,但将它们编码为单个 MESSAGE= 字段。

不要将此字段类型的多个值添加到同一记录(另请参阅上文),因为使用应用程序通常不会期望这样做,并且在这种情况下不太可能显示所有值。

MESSAGE_ID=

用于识别某些消息类型的 128 位消息标识符 ID(如果需要)。

这应该包含一个 128 位 ID,格式为小写十六进制字符串,没有任何分隔破折号或类似内容。

建议将其设置为与 UUID 兼容的 ID,但不会强制执行,并且格式不同。

开发人员可以使用 systemd-id128 new 生成一个新 ID。

PRIORITY=

介于 0 (“ emerg ”)7 (“ debug ”) 之间的优先级值,格式为十进制字符串。此字段与 syslog 的优先级概念兼容。

CODE_FILE=, CODE_LINE=, CODE_FUNC=

生成此消息的代码位置(如果已知)。包含源文件名、行号和函数名称。

ERRNO=

导致此记录的低级 Unix 错误号(如果有)。包含 errno(3) 的数值,格式为十进制字符串。

INVOCATION_ID=, USER_INVOCATION_ID=

一个随机的、唯一的 128 位 ID,用于标识设备的每个运行时周期。这与_SYSTEMD_INVOCATION_ID 不同之处在于,它仅用于来自 systemd 代码的消息(例如,来自系统/用户管理器的日志或来自执行 systemd 相关设置的分叉进程的日志)。

SYSLOG_FACILITY=, SYSLOG_IDENTIFIER=, SYSLOG_PID=, SYSLOG_TIMESTAMP=

Syslog 兼容性字段包含设施(格式为十进制字符串)、标识符字符串(即“标签”)、客户端 PID 和原始数据报中指定的时间戳。 (请注意,该标记通常派生自 glibc 的program_invocation_short_name 变量,请参阅program_invocation_short_name(3)。)

请注意,日志服务不会验证名称未以下划线为前缀的任何结构化日志字段的值,这包括任何与系统日志相关的字段,例如这些字段。因此,提供设施、PID 或日志级别的应用程序应正确格式化,即格式化为十进制字符串的数字整数。

DOCUMENTATION=

包含有关日志消息主题的详细信息的文档 URL。journalctl 等工具将在其输出中包含指向以这种方式指定的 URL 的超链接。应为“ http:// ”, “ https:// ”, “ file:/ ”, “ man: ” 或 “ info: ” URL

TID=

日志消息源的线程 ID (TID),为数字。

UNIT=, USER_UNIT=

UNIT单元的名称。由系统和用户管理器在记录特定单元时使用。
当 或 --user-unit=namejournalctl(1) 一起使用时 --unit=name , 将生成包含 “ UNIT=name.service ”“ USER_UNIT=name.service的匹配模式。

可信日志字段(Trusted Journal Fields)

以下划线为前缀的字段是受信任字段,即由日志隐式添加且无法由客户端代码更改的字段。

_PID=, _UID=, _GID=

日志记录源自的进程的进程、用户和组 ID,格式为十进制字符串。请注意,通过分叉进程的 “ stdout ”“ stderr获得的记录将包含对父进程(启动与 systemd-journald 的连接)有效的凭据。

_COMM=, _EXE=, _CMDLINE=

日志记录源自的进程的名称、可执行文件路径和命令行。

_CAP_EFFECTIVE=

日志记录来源的进程的会话和登录 UID,由内核审核子系统维护。

_CAP_EFFECTIVE=

日志记录来源的流程的有效能力(7)

The effective capabilities(7) of the process the journal entry originates from.

_AUDIT_SESSION=, _AUDIT_LOGINUID=

日志记录来源的进程的会话和登录 UID,由内核审核子系统维护。

_SYSTEMD_CGROUP=, _SYSTEMD_SLICE=, _SYSTEMD_UNIT=, _SYSTEMD_USER_UNIT=, _SYSTEMD_USER_SLICE=, _SYSTEMD_SESSION=, _SYSTEMD_OWNER_UID=

systemd 层次结构中的控制组路径、systemd 切片单元名称、systemd 单元名称、systemd 用户管理器中的单元名称(如果有)、systemd 会话 ID(如果有)以及日志记录来源的进程的 systemd 用户单元或 systemd 会话(如果有)的所有者 UID。

_SELINUX_CONTEXT=

日志记录源自的进程的 SELinux 安全上下文(标签)。

_SOURCE_REALTIME_TIMESTAMP=

消息的最早受信任时间戳(如果已知有)与日志的接收时间不同。这是自纪元 UTC 以来以微秒为单位的时间,格式为十进制字符串。

_BOOT_ID=

生成消息的启动的内核启动 ID,格式为 128 位十六进制字符串。

_MACHINE_ID=

原始主机的机器 ID,在 machine-id(5) 中可用。

_SYSTEMD_INVOCATION_ID=

生成消息的单元的运行时周期的调用 ID,可供单元的进程使用 $INVOCATION_ID (参见 systemd.exec(5))。

_HOSTNAME=

原始主机的名称。

_TRANSPORT=

日志服务如何接收日志记录。有效的传输方式包括:

audit

用于那些从内核审计子系统读取的用户

driver

对于内部生成的消息

syslog

对于通过本地 syslog 套接字和 syslog 协议接收的那些

journal

对于通过Native Journal Protocol接收的那些

stdout

对于从服务的标准输出或错误输出读取的用户

kernel

对于那些从内核中读取的人

_STREAM_ID=

仅适用于 “ _TRANSPORT=stdout ” 记录:指定在首次创建流连接时分配给流连接的随机 128 位 ID。此 ID 可用于从日志记录中重建单个日志流:具有相同流 ID 的所有日志记录都源自同一流。

_LINE_BREAK=

仅适用于 “ _TRANSPORT=stdout ” 记录:表示标准输出/错误流中的日志消息未以普通换行符(“ \n ”,即 ASCII 10)结尾。

具体来说,当设置时,此字段是( nul 如果行以 NUL 字节终止)line-max(如果达到最大日志行长度,如 journald.conf(5) 中配置)、 LineMax= eof (如果这是流的最后一个日志记录,并且流结束时没有最后一个换行符)或 pid-change (如果生成日志输出的进程在行中间发生更改)之一。

请注意,当使用普通换行符标记日志行结束时,不会生成此记录。

_NAMESPACE=

如果此文件是由管理非默认日志命名空间的 systemd-journald 实例编写的,则此字段包含命名空间标识符。参见 systemd-journald.service(8) 来了解日志命名空间的细节。

_RUNTIME_SCOPE=

一个字符串字段,该字段指定记录消息的运行时范围。如果是“ initrd ”,则当系统在 initrd 中运行时处理日志消息。如果 是 system ”,则日志消息是在系统切换到主机根文件系统执行后生成的。

内核日志字段 (Kernel Journal Fields)

内核字段是由源自内核并存储在日志中的信息使用的字段。

_KERNEL_DEVICE=

内核设备名称。

如果记录与块设备相关联,则包含设备节点的主要和次要编号,以“ : ” 分隔,并以“ b ” 为前缀。与字符设备类似,但以“ c ” 为前缀。

对于网络设备,这是以“ n ” 为前缀的接口索引。

对于所有其他设备,这是以 “ + ” 为前缀的子系统名称,后跟 “ : ” ,后跟内核设备名称。

_KERNEL_SUBSYSTEM=

内核子系统名称。

_UDEV_SYSNAME=

内核设备名称,显示在下面/sys/的设备树中。

_UDEV_DEVNODE=

此设备在 中的 /dev/ 设备节点路径。

_UDEV_DEVLINK=

指向 中 /dev/ 设备节点的其他符号链接名称。每个记录通常设置此字段不止一次。

代表其他程序登录的字段(Fields to log on behalf of a different program)

程序使用本节中的字段来指定它们代表另一个程序或单元进行日志记录。

systemd-coredump ,coredump 内核帮助程序使用的字段:

COREDUMP_UNIT=

用于注释包含来自系统和会话单元的核心转储的消息。参见 coredumpctl(1)
Used to annotate messages containing coredumps from system and session units. See coredumpctl(1).

特权程序(当前为 UID 0)可能会附加 OBJECT_PID= 到消息。这将指示 systemd-journald 代表调用方附加其他字段:

OBJECT_PID=PID

此消息所属程序的 PID。

OBJECT_UID=, OBJECT_GID=, OBJECT_COMM=, OBJECT_EXE=, OBJECT_CMDLINE=, OBJECT_AUDIT_SESSION=, OBJECT_AUDIT_LOGINUID=, OBJECT_SYSTEMD_CGROUP=, OBJECT_SYSTEMD_SESSION=, OBJECT_SYSTEMD_OWNER_UID=, OBJECT_SYSTEMD_UNIT=, OBJECT_SYSTEMD_USER_UNIT=

这些是 systemd-journald 自动添加的附加字段。它们的含义与_UID= 、 _GID= 、 _COMM= _EXE= _CMDLINE= _AUDIT_SESSION= _AUDIT_LOGINUID= _SYSTEMD_CGROUP= _SYSTEMD_SESSION= _SYSTEMD_UNIT= _SYSTEMD_USER_UNIT= _SYSTEMD_OWNER_UID=和 如上所述 相同,只是描述的是 标识的 PID 进程,而不是记录消息的进程。

地址字段 (Address Fields)

在序列化为外部格式(如日志导出格式或日志 JSON 格式)期间,日志记录的地址将序列化为以双下划线为前缀的字段。请注意,当存储在日志中时,这些字段不是正确的字段,而是用于处理记录的元数据。它们不能通过调用(如 sd_journal_send(3)作为结构化日志记录的一部分写入。它们也不能用作sd_journal_add_match(3) 的匹配项。

__CURSOR=

__CURSOR=   #前面是两个下划线

记录的光标。游标是一个不透明的文本字符串,它唯一地描述了记录在日志中的位置,并且可以跨计算机、平台和日志文件进行移植。

__REALTIME_TIMESTAMP=

__REALTIME_TIMESTAMP=  #前面是两个下划线

日志收到记录时的挂钟时间 ( CLOCK_REALTIME ),自 UTC 纪元以来的微秒数,格式为十进制字符串。这与“ _SOURCE_REALTIME_TIMESTAMP= ” 具有不同的属性,因为它通常稍晚一些,但更有可能是单调的。

__MONOTONIC_TIMESTAMP=

__MONOTONIC_TIMESTAMP=  #前面是两个下划线

日志接收记录的时间点的单调时间 CLOCK_MONOTONIC 以微秒为单位,格式为十进制字符串。为了用作日志记录的地址,应将其与“ _BOOT_ID= ” 中的引导 ID 结合使用。

__SEQNUM=, __SEQNUM_ID=

__SEQNUM=, __SEQNUM_ID=  #前面是两个下划线

此日志记录源自的日志文件中的序列号(和关联的序列号 ID)。详见sd_journal_get_seqnum(3)

湖光秋色
关注
专栏目录
实战:使用Journalbeat采集systemd服务日志
AI天才研究院
06-01 1106
实战:使用Journalbeat采集systemd服务日志 1.背景介绍 在现代基础设施中,日志管理和分析是一项关键任务。随着容器和微服务架构的广泛采用,分布式系统中的日志数据变得越来越分散和庞大。有效地收集和处理这些日志数据对于故障排查、性能监控和安全审计至关重要
RHCSA学习笔记(RHEL8) - Part1.RH124
glisten0317的博客
11-28 1万+
Linux是类UNIX系统,mac系统也是类UNIX系统,所以二者的图形化界面比较相似开源许可证:公共版权;宽松许可证Fedora:上游,实验版,半年更新,一年技术支持,提供最新的软件,不建议用在生产环境↓RHEL↓Centos:下游,拿掉RedHat中有知识版本的部分,如图标、功能等Kdump,有助于系统故障时查找原因,但会占用磁盘空间。
Linux系统中的日志管理
weixin_44717560的博客
11-09 751
Linux系统中的日志管理一、.journald1、基本知识2、journalctl命令的基本用法3、 用journald服务永久存放日志 一、.journald 1、基本知识 服务名称:systemd-journald.service journalctl 默认日志存放路径: /run/log 系统和我们交流的途径就是文字。下面用一个例子来证明。 比如 我们进入到ssh的配置文件中(/etc/ssh/sshd_config) 将第一行注释取消,(第一行没有实际意义),这样在读取文件时就会报错。 在jo
了解 Systemd Journal: 使用 journalctl 命令
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
04-08 421
了解 Systemd Journal: 使用 journalctl 命令
管理和清理 systemd journal
Pzhang的博客
04-22 1363
https://www.linuxuprising.com/2019/10/how-to-clean-up-systemd-journal-logs.html
linux系统中的日志管理
weixin_54719086的博客
02-04 2027
linux系统中的日志管理 1 实验环境 需要两台可以相互通信的linux虚拟机 首先切换到真机的超级用户下,执行westos-vmctl create westos_node2虚拟机创建命令;然后输入westos-vmctl start westos_node2命令开启该虚拟机;再输入westos-vmctl view westos_node2命令直接显示虚拟机。 进入新建的虚拟机,输入virt-manager命令,点击进入灯泡,配置网卡。 输入nm-connection-editor命令,把以太网里的
Linux 系统 /var/log/journal/ 垃圾日志清理
qq_50247813的博客
03-02 3048
8、由于system.journal日志被systemd-journald服务占用,所以不能直接删除system.journal日志,如果需要删除,需要重启systemd-journald服务,文件才会被彻底删除。命令清除/var/log/journal/3c6ff97c6fbe4598b53fd04e08937468下大于10M的文件,默认是不会清除 system.journal日志文件的,使用。6、查看systemd-journal服务收集的日志大小。1) 只保留近一周的日志。查看每个日志文件的大小。
systemd介绍六:Journalctl查看并操作sytemd日志
Tongsheng_li的博客
12-07 1232
一、内容简介 作为最具吸引力的优势,systemd拥有强大的处理与系统日志记录功能。在使用其它工具时,日志往往被分散在整套系统当中,由不同的守护进程及进程负责处理,这意味着我们很难跨越多种应用程序对其内容进行解读。 相比之下,systemd尝试提供一套集中化管理方案,从而统一打理全部内核及用户级进程的日志信息。这套系统能够收集并管理日志内容,而这也就是我们所熟知的journalJournal的实现归功于journald守护进程,其负责处理由内核、initrd以及服务等产生的信息。在今天的教程中,我们将探
红帽培训笔记3day
Red hat master的BLOG
11-05 387
查看和控制系统服务 在RHEL6之前的版本,对系统服务控制使用命令 service service sshd status/start/stop/restart/reload chkconfig --list sshd 从RHEL7开始,控制系统服务的命令 systemctl [root@abc ~]# systemctl status sshd ● sshd.service - OpenSSH server daemon Loaded: loaded (/usr/lib/.
OpenStack制作qcow2格式镜像详细教程------最新版待整理
背锅神童的博客
05-19 1313
qcow2是kvm支持的磁盘镜像格式,支持写时拷贝、支持快照,常用于云平台的镜像格式
Linux: journal日志文件维护
彭世瑜的博客
10-25 3232
清空 /var/log/journal 文件的方法 1、用echo命令,将空字符串内容重定向到指定文件中 echo "" > system.journal 说明:此方法只会清空一次,一段时间后还要再次手动清空很麻烦,这里可以用以下命令让journalctl 自动维护空间 2、journalctl 命令自动维护文件大小 1)只保留近一周的日志 journalctl --vacuum-time=1w 2)只保留500MB的日志 journalctl --vacuum-size=500M 3)直接删除
systemd-journald日志进程介绍
legend050709的专栏
12-06 6975
journald
linux】日志和journalctl 管理查看日志
bandaoyu的note
10-14 1万+
journalctl -xe # -x 是目录(catalog)的意思,在报错的信息下会,附加解决问题的网址 -e pager-end 从末尾开始看。4. `journalctl -p priority-level`:按优先级过滤日志条目,例如 `-p err` 只显示错误级别的日志。6. `journalctl --since "YYYY-MM-DD HH:MM:SS"`:仅显示指定时间之后的日志条目。7. `journalctl --disk-usage`:显示日志存储占用情况。
如何使用Journalctl查看并操作Systemd日志
热门推荐
zstack_org的博客
02-21 9万+
提供:ZStack云计算 内容简介作为最具吸引力的优势,systemd拥有强大的处理与系统日志记录功能。在使用其它工具时,日志往往被分散在整套系统当中,由不同的守护进程及进程负责处理,这意味着我们很难跨越多种应用程序对其内容进行解读。相比之下,systemd尝试提供一套集中化管理方案,从而统一打理全部内核及用户级进程的日志信息。这套系统能够收集并管理日志内容,而这也就是我们所熟知的journal。J
Systemd服务管理与journal日志管理指南
weixin_46752797的博客
02-02 954
Systemd服务管理与journal日志管理指南
systemd-coredum占用CPU很高的问题排查(已解决)和记录
吻等离子的博客
05-16 456
频繁的崩溃:如果系统中有进程频繁崩溃并生成coredump文件,可能会占用大量内存来处理这些文件。大规模coredump文件:如果生成的coredump文件非常大,在处理这些文件时可能会占用大量内存。内存泄漏本身可能存在内存泄漏问题,导致在处理coredump文件时内存占用不断增加。配置问题:某些配置可能导致使用更多的资源。例如,配置文件中可能设置了高的内存限额或启用了详细的调试信息收集。检查系统日志:使用journalctl命令检查系统日志,看看是否有进程频繁崩溃的记录。查看coredump文件大小。
centos7 日志定期清理及修改系统日志保留时间
jialiu111111的博客
12-09 9005
1.删除文件命令: find 对应目录 -mtime +天数 -name "文件名" -exec rm -rf {} \; 实例命令: find /usr/local/logs/ -mtime +15 -type f -name "*.log" -exec rm -f '{}' \; 说明: 将/usr/local/logs/目录下所有15天前带".log"的文件删除。具体参数说明如下: find:linux的查找命令,用户查找指定条件的文件; /usr/local/logs/:想要进行清理的任意目录; .
sysystemd日志 journalctl日志持久化存储(journal日志、持久化日志)(/etc/systemd/journald.conf)log日志容量上限、无法持久化失败
Dontla的博客
08-21 4263
SystemdLinux系统的一个初始化系统和服务管理器,它负责启动系统后的所有服务。其中,Journalsystemd的一个组成部分,用于收集和存储系统日志。Journalctl是一种工具,可以方便地从systemdjournal中检索日志信息。默认情况下,这些日志数据是易失的,也就是说,每次重启系统后,它们都会被清除。# 查看所有日志条目 journalctl。
systemd-journal(一)之journalctl命令详解
qq_40804558的博客
03-26 2528
本文主要是详细介绍了systemd中的journalctl命令及各选项详细含义,主要用于linux系统的日志相关等。主要翻译自英文原文文档(develop版本,截止到文章记录时间,最新版本是systemd 255)。以及增加了一些使用示例。主要用于学习记录。后续有例子将持续补充该页面。
E: 无法定位软件包 systemd-journal-tools
最新发布
09-16
当在安装过程中遇到 "E: 无法定位软件包 systemd-journal-tools" 错误时,这通常是由于以下几个原因: 1. **包名拼写错误**:确认你输入的包名 `systemd-journal-tools` 是否正确,有时候可能会因为大小写或者其他拼写差异导致找不到。 2. **源列表问题**:检查你的系统是否已经配置了正确的软件包源。如果是通过非官方或者自定义源,确保该源包含所需的包。尝试更新源列表并重新尝试安装: - Ubuntu/Debian: ```sh sudo apt-get update && sudo apt-get install systemd-journal-tools ``` - CentOS/Fedora: ```sh sudo yum check-update sudo yum install systemd-journald ``` 3. **版本过旧**:有时候软件库里的某些包可能还未更新到包含 `systemd-journal-tools` 的新版本。你可以尝试升级整个系统或添加新的软件仓库来获取最新版本。 4. **权限问题**:在某些情况下,你需要以管理员权限(`sudo`)运行安装命令。 5. **网络问题**:确保你的机器能够访问互联网,以便从源下载包。 如果以上方法都无效,可能是软件包在当前的源中不存在或者你的系统存在其他未解决的问题。建议查阅发行版文档或寻求技术支持以获得更准确的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值