systemd-journal(四)之systemd-journald.service

已于 2024-03-29 14:25:29 修改
阅读量980 收藏 32
点赞数 22
分类专栏: 运维 systemd linux 文章标签: linux 运维 systemd journal
于 2024-03-27 17:00:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40804558/article/details/137081754
版权
运维 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
linux
22 篇文章 0 订阅
订阅专栏
systemd
6 篇文章 0 订阅
订阅专栏
本文详细介绍了systemd-journald在Linux系统中的作用,包括日志收集、存储、流日志处理、命名空间管理、信号处理以及配置选项,帮助读者理解这个关键的日志管理系统。
摘要由CSDN通过智能技术生成

文章目录

写在前面

本文主要是详细介绍了systemd-journald.service,主要翻译自英文原文文档(develop版本,截止到文章记录,最新版本是systemd 255)。linux系统服务管理器systemd在日志journal部分的systemd-journald.service。

主要是以下页面的翻译:
https://www.freedesktop.org/software/systemd/man/latest/systemd-journald.service.html#
其他相关文档请参考:systemd专栏
在这里插入图片描述
在这里插入图片描述

概述

systemd-journald.service

systemd-journald.socket

systemd-journald-dev-log.socket

systemd-journald-audit.socket

systemd-journald@.service

systemd-journald@.socket

systemd-journald-varlink@.socket

/usr/lib/systemd/systemd-journald

描述

systemd-journald 是收集和存储日志记录数据的系统服务。

它根据从各种来源收到的日志记录信息创建和维护结构化的索引日志:

  • Kernel log messages, via kmsg
    内核日志消息,通过 kmsg
  • Simple system log messages, via the libc syslog(3) call
    简单的系统日志消息,通过 libc syslog(3) 调用
  • Structured system log messages via the native Journal API, see sd_journal_print(3) and Native Journal Protocol
    通过本机日志 API 的结构化系统日志消息,参见 sd_journal_print(3) 和本机日志协议
  • Standard output and standard error of service units. For further details see below.
    服务单元的标准输出和标准误差。有关详细信息,请参见下文。
  • Audit records, originating from the kernel audit subsystem
    源自内核审计子系统的审计记录

守护程序将以安全且不可伪造的方式隐式收集每个日志消息的大量元数据字段。参见 systemd.journal-fields(7) 来获取有关所收集元数据的更多信息

日志收集的日志数据主要基于文本,但必要时也可以包括二进制数据。

构成日志中存储的日志记录的单个字段的大小可能高达2⁶⁴-1字节。

日志服务将日志数据永久存储在 /var/log/journal 下,或者以易失性的方式存储在 /run/log/journal/ 下(在后一种情况下,日志数据在重新启动时会丢失)。

默认情况下,如果启动期间 /var/log/journal/ 存在,则日志数据将永久存储,否则隐式回退到易失性存储。使用journald.conf(5) 中的Storage= 配置日志数据的放置位置,与/var/log/journal/ 是否存在无关。

请注意,journald 最初将使用易失性存储,直到调用journalctl --flush(或向journald 发送SIGUSR1 )将导致其切换到持久日志记录(在上述条件下)。这是通过“systemd-journal-flush.service” 在启动时自动完成的。

/var/log/journal/ 尚不存在但需要持久日志记录(并且使用默认的 Journald.conf )的系统上,创建目录就足够了,并确保它具有正确的访问模式和所有权:

mkdir -p /var/log/journal
systemd-tmpfiles --create --prefix /var/log/journal

流日志记录(Stream logging)

默认情况下,systemd 服务管理器使用连接到日志的标准输出和标准错误来调用所有服务进程。

此行为可以通过 StandardOutput= 或者StandardError= 单元文件设置进行更改,有关详细信息,请参阅 systemd.exec(5) 。日志将以这种方式接收到的日志字节流转换为单独的日志记录,并在换行符(“\n”,ASCII 10)和 NUL 字节 处分割流。

如果 systemd-journald.service 停止,则与所有服务关联的流连接将终止。服务进一步写入这些流将导致 EPIPE 错误。

为了在这种情况下做出适当的反应,建议记录到标准输出/错误的程序忽略此类错误。

如果 SIGPIPE UNIX 信号处理程序 未被阻止或关闭,此类写入尝试也将导致生成此类进程信号,请参阅 signal(7)

为了缓解此问题,systemd 服务管理器默 认显式关闭所有调用进程的 SIGPIPE 信号 (可以通过IgnoreSIGPIPE= 选项单独更改每个单元的 SIGPIPE 信号,有关详细信息,请参阅 systemd.exec(5) )。

标准输出/标准错误流终止后,它们可能无法恢复,直到与其关联的服务重新启动为止。

请注意,在正常操作期间,systemd-journald.service 在服务管理器中存储这些流的文件描述符的副本。如果使用 systemctl restart 或等效操作而不是一对单独的systemctl stopsystemctl start 命令(或等效操作)重新启动 systemd-journald.service ,则这些流连接不会终止并在重新启动后继续存在。因此,重新启动systemd-journald.service 是安全的,但不建议停止它。

请注意,通过此类标准输出/错误流传输的记录的日志记录元数据反映了最初为其创建流的对等方的元数据。如果将流连接传递到其他进程(例如从主服务进程分叉出来的其他子进程),则日志记录将不会反映其元数据,但将继续描述原始进程。这与上面列出的其他日志记录传输不同,后者本质上是基于记录的,并且元数据始终与单个记录相关联。

目前,将接受的 systemd-journald 并行日志流数量限制为 4096 。当达到此限制时,可能会建立进一步的日志流,但将从一开始就接收 EPIPE

日志命名空间(Journal Namespaces)

日志“命名空间”既是一种机制,用于从逻辑上将包含一个或多个服务的项目的日志流与系统的其余部分隔离开来,也是一种用于提高性能的机制。

多个日志命名空间可以同时存在,每个命名空间都定义自己的独立日志流,由自己的 systemd-journald 实例管理。命名空间在数据存储和IPC 接口 中都是相互独立的。

默认情况下,仅存在一个“默认”命名空间,由 systemd-journald.service (及其关联的套接字单元)管理。

通过启动 systemd-journald@.service 服务模板的实例来创建其他命名空间。

实例名称是命名空间标识符,它是用于引用日志命名空间的短字符串。

可以通过 LogNamespace= 单元文件设置将服务单元分配给特定的日志命名空间,详见 systemd.exec(5)。

journalctl(1) --namespace= 的开关可用于查看特定命名空间的日志流。

如果未使用该开关,则会显示默认命名空间的日志流,例如,来自其他命名空间的log数据不可见。

与特定日志命名空间关联的服务可以通过 syslog(日志的本机日志记录协议)和 stdout/stderr 进行日志记录;所有三个传输的日志记录都与命名空间相关联。

默认情况下,只有默认命名空间会收集内核和审核日志消息。

默认命名空间的systemd-journald 实例是通过 /etc/systemd/journald.conf (见下文)配置的,而其他实例是通过 /etc/systemd/journald@NAMESPACE.conf 配置的。

默认命名空间的日志数据位于 /var/log/journal/MACHINE_ID (见下文),而其他命名空间的数据位于 /var/log/journal/MACHINE_ID.NAMESPACE

信号 Signals

SIGUSR1

请求将日志 /run/ 数据刷新到 /var/ ,以使其持久化(如果启用此功能)。

这必须在挂载 /var/ 后使用,否则无论配置如何,来自 /run/ 的日志数据都不会刷新到 /var/ 。使用journalctl --flush 命令请求刷新日志文件,并等待操作完成。详细信息请参见journalctl(1)

SIGUSR2

请求立即轮换日志文件。使用 journalctl --rotate 命令请求日志文件轮换,并等待操作完成。

SIGRTMIN+1

请求将所有未写入的日志数据写入磁盘。使用 journalctl --sync 命令触发日志同步,并等待操作完成。

内核命令行 Kernel Command Line

在内核命令行上可以覆盖一些 journald.conf 配置参数:

systemd.journald.forward_to_syslog=

启用/禁用将收集的日志消息转发到 syslog

systemd.journald.forward_to_kmsg=

启用/禁用将收集的日志消息转发到 内核日志缓冲区

systemd.journald.forward_to_console=

启用/禁用将收集的日志消息转发到 系统控制台

systemd.journald.forward_to_wall=

启用/禁用将收集的日志消息转发到 wall

访问控制 Access Control

默认情况下,日志文件由“ systemd-journal ” 系统组拥有和读取,但不可写。

因此,将用户添加到此组使他们能够读取日志文件。

默认情况下,每个用户(超出系统用户的UID 动态服务用户nobody 用户 )将在 /var/log/journal/ 获取他们自己的日志文件集合。但是,这些日志文件将不归用户所有,以避免用户可以直接写入它们。相反,文件系统 ACLs 用于确保用户仅获得读取访问权限。

其他用户和组可以通过文件系统访问控制列表 (ACL) 被授予对日志文件的访问权限。发行版和管理员可以选择使用如下命令授予对 “ wheel ” 和 “ adm ” 系统组的所有成员的读取访问权限:

setfacl -Rnm g:wheel:rx,d:g:wheel:rx,g:adm:rx,d:g:adm:rx /var/log/journal/

请注意,此命令将更新现有日志文件和未来在/var/log/journal/ 目录中创建的日志文件的ACL

文件 Files

/etc/systemd/journald.conf

配置 systemd-journald 行为

/run/log/journal/machine-id/*.journal
/run/log/journal/machine-id/*.journal~

/var/log/journal/machine-id/*.journal
/var/log/journal/machine-id/*.journal~

systemd-journald 将记录写入 /run/log/journal/machine-id//var/log/journal/machine-id/ 中带有“.journal” 后缀的文件。如果守护进程不正常停止,或者发现文件已损坏,则会使用“.journal~” 后缀重命名它们,并且 systemd-journald 开始写入新文件。当 /var/log/journal 不可用或在journald.conf(5) 配置文件中设置 Storage=volatile 时,使用 /run/
当停止写入日志文件时 systemd-journald ,它将重命名为“ original-name@suffix.journal ” (或“ original-name@suffix.journal~ ” )。此类文件已“存档”,不会再写入任何内容。

通常,读取或复制任何日志文件(活动或存档)都是安全的。

journalctl(1)sd-journal(3) 库中的函数应该能够读取所有已完全写入的记录。

systemd-journald 将自动删除最早的存档日志文件以限制磁盘使用。参见 SystemMaxUse= journald.conf(5) 中的相关设置。

/dev/kmsg, /dev/log, /run/systemd/journal/dev-log, /run/systemd/journal/socket, /run/systemd/journal/stdout

/dev/kmsg
/dev/log
/run/systemd/journal/dev-log
/run/systemd/journal/socket
/run/systemd/journal/stdout

systemd-journald 将侦听并在文件系统中可见的套接字和其他文件节点路径。除此之外,systemd-journald 还可以使用 netlink(7) 监听审核事件, 这取决于是否启用了 “ systemd-journald-audit.socket ”

湖光秋色
关注
  • 22
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux中的日志管理
weixin_46074899的博客
11-04 330
文章目录1. journald采集日志1.1 journal介绍1.2 jouralctl命令的用法1.2.1 journal命令的参数1.2.2 用journald服务永久存放日志2. rsyslog日志采集2.1 rsyslog服务介绍2.2 自定义日志采集路径2.3 日志远程同步 1. journald采集日志 1.1 journal介绍 服务名称:systemd-journald.serice 注意:在rhel8之后,有journald和rsyslog两种方式来采集日志,日志产生由程序本身产生。jo
Linux系统中的日志管理 ---systemd-journald日志(journalctl命令的用法)和 rsyslog 日志(自定义日志采集路径、更改日志采集格式和日志的远程同步)
Rengar_Yang的博客
07-01 7822
一、实验环境 1 | yxy.westos.com : 172.25.254.10 2 | lww.westos.com : 172.25.254.20 3 | yxy.westos.com & lww.westos.com : systemctl stop firewalld.service ##关闭火墙 二、systemd-journald 1.systemd-journald 服务名称:systemd-journald.service systemd-journald可移植性高
systemdjournalctl
kepa520的博客
12-03 1169
原文地址:https://www.cnblogs.com/itxdm/p/Systemd_log_system_journalctl.html Systemd 日志系统 一、前言 昨天写了一篇文章,内容为:Systemd 常规操作与彩蛋,参考了 ArchLinux 官方文档并结合培训中的思路进行了部分修改补充。如果你懂得了基础的管理,那必然还需要做维护和审计。这时候就需要 Redhat7 中...
深入解析 systemd-journald:高效日志管理与智能分析
最新发布
weixin_43822401的博客
05-18 473
是一个系统服务,负责收集和存储系统日志。与传统日志文件系统不同,将日志信息存储在一个二进制数据库中,提高了检索效率和减少了磁盘空间的使用。
K8S部署(Elasticsearch+Kibana+Fluentd)
liuchao666888的博客
10-26 5446
实验环境版本 Kubernetes:v1.14.1 Elasticsearch镜像:docker.elastic.co/elasticsearch/elasticsearch:7.6.2 Kibana 镜像:docker.elastic.co/kibana/kibana:7.6.2 Fluentd 镜像:quay.io/fluentd_elasticsearch/fluentd:v3.0.1 简介 1、Elasticsearch Elasticsearch 是一个实时的、分布式的可扩展的搜索引擎,允许进行
Systemd日志管理服务:Journald以及重要配置选项
简单IoT
03-07 1万+
Journaldsystemd引入的用于收集和存储日志数据的系统服务。它试图使系统管理员可以在越来越多的日志消息中更轻松地找到有趣且相关的信息。为了实现此目标,日记中的主要更改之一是用为日志消息优化的特殊文件格式替换简单的纯文本日志文件。这种文件格式使系统管理员可以更有效地访问相关消息。它还为单个系统带来了数据库驱动的集中日志记录实现的某些功能。 概览systemd-journald系统 Jou...
systemd-journald日志清理
热门推荐
漠效的博客
09-18 1万+
前言 在Centos系统中有两个日志服务 rsyslog和systemd-journal。 rsyslog是传统的系统日志服务,它会把所有日志都记录到/var/log/目录下的各个日志文件中,永久性的保存。 systemd-journal是syslog 的补充,收集来自内核、启动过程早期阶段、标准输出、系统日志、守护进程启动和运行期间错误的信息,它会默认把日志记录到/run/log/journa...
systemd-219-62.el7.x86_64.rpm
12-01
离线安装包,亲测可用
systemd-libs-219-62.el7.x86_64.rpm
11-30
离线安装包,亲测可用
mariadb-10.10.3-linux-systemd-x86-64.tar.gz
02-08
"mariadb-10.10.3-linux-systemd-x86_64.tar.gz"这个压缩包就是专门为64位Linux系统设计的,包含了MariaDB服务器以及相关的配置和服务脚本。 安装这个压缩包后,用户可以享受到以下关键功能和特性: 1. **存储引擎...
systemd-python-219-62.el7.x86_64.rpm
11-30
离线安装包,亲测可用
mariadb-10.11.2-linux-systemd-x86-64.tar.gz
02-18
这个名为“mariadb-10.11.2-linux-systemd-x86_64.tar.gz”的压缩包文件,显然是针对Linux操作系统,采用Systemd作为初始化系统的x86_64架构的MariaDB 10.11.2版本。 MariaDB的核心特点包括: 1. 兼容性:MariaDB...
44. 日志管理之systemd日志,持久化设置,journal,systemd-journald,查看日志(journalctl)
细致-专业-实操
01-07 8525
日志管理之systemd日志,持久化设置,journal,systemd-journald,查看日志(journalct CentOS 7 使用systemd-journald来做日志中心库(生成日志文件夹),systemd-journald 守护进程提供一种改进的日志管理服务,可以收集来自内核,启动过程的早期阶段,标准输出,系统日志,以及服务,守护进程启动和运行期间的错误的消息。 持久化systemd日志 默认情况下,systemd 的日志保存在 /run/log/journal 中,系统重启
systemd-journald日志管理服务详解
qq_48391148的博客
11-09 881
Amazonlinux2023系统默认不再安装rsyslog,因此在amazonlinux2中的诸多日志文件例如/var/log/message默认不可用。
systemd-journald日志进程介绍
legend050709的专栏
12-06 6393
journald
linux中查日志的d啥命令,Linux系统中的日志管理 ---systemd-journald日志(journalctl命令的用法)和 rsyslog 日志(自定义日志采集路径、更改日志采集格式和日...
weixin_39633113的博客
05-04 408
一、实验环境1 | yxy.westos.com : 172.25.254.102 | lww.westos.com : 172.25.254.203 | yxy.westos.com & lww.westos.com : systemctl stop firewalld.service ##关闭火墙二、systemd-journald1.systemd-journald服务名称:sys...
修改linux 系统自带日志系统systemd-journald && 参数
ligaoman521的博客
04-27 1566
配置文件路径: vim /etc/systemd/journald.conf #SystemMaxUse= 日志的最大容量 #SystemMaxFileSize= 单个文件的最大容量 #RuntimeMaxUse= 能在内存的最大容量 #RuntimeMaxFileSize= 能在内存的单个文件的最大容量 主要修改参数,为了减少内存占用和磁盘占用。 SystemMaxUse=300M SystemMaxFileSize=50M RuntimeMaxUse=30M RuntimeMaxFil...
Linux系统中的日志管理
LY_CS的博客
11-02 1679
Linux系统中的日志管理 首先systemctl stop firewalld1.journald 服务名称:systemd-journald.service 查看服务状态确认开启 journalctl 默认日志存放路径: /run/log 如果删除system.journal 如果重启服务会重新生成 ##实验1 journalctl命令的用法##journalctl -n 3 ##日志的最新3条 ...
Linux——systemd-journald.service简介
小顽固的博客
10-23 6443
过去只有 rsyslogd 的年代中,由于 rsyslogd 必须要开机完成并且执行了 rsyslogd 这个 daemon 之后,登录文件才会开始记录。所以,核心还得要自己产生一个 klogd 的服务, 才能将系统在开机过程、启动服务的过程中的信息记录下来,然后等 rsyslogd 启动后才传送给它来处理~现在有了 systemd 之后,由于这玩意儿是核心唤醒的,然后又是第一支执行的软件,它可以...
systemd-journald.service 单元 在哪个配置文件
06-01
`systemd-journald.service` 单元文件的位置在 `/usr/lib/systemd/system/systemd-journald.service`。这是系统级别的默认配置文件,如果你需要修改该文件,建议不要直接修改该文件,而是通过创建一个 `/etc/systemd/system/systemd-journald.service.d/` 目录,并在该目录中创建一个 `.conf` 文件来进行修改。 具体来说,你可以执行以下步骤: 1. 创建目录 `/etc/systemd/system/systemd-journald.service.d/`: ``` sudo mkdir -p /etc/systemd/system/systemd-journald.service.d/ ``` 2. 在该目录中创建一个 `.conf` 文件,例如 `custom.conf`: ``` sudo nano /etc/systemd/system/systemd-journald.service.d/custom.conf ``` 3. 在 `custom.conf` 文件中添加你需要修改的选项,例如: ``` [Service] SystemCallFilter=~@clock,@cpu-emulation,@debug,@module,@obsolete,@raw-io,read,write,futex,sigreturn ``` 4. 保存文件并退出编辑器。 5. 重新加载 systemd 配置并重启 journald 服务以使配置生效: ``` sudo systemctl daemon-reload sudo systemctl restart systemd-journald.service ``` 这样,你就成功地修改了 journald 的配置,并且保证了在系统更新时不会被覆盖。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值