systemd-journal(四)之systemd-journald.service

已于 2024-03-29 14:25:29 修改
阅读量1.3k 收藏 33
点赞数 23
分类专栏: 运维 systemd linux 文章标签: linux 运维 systemd journal
于 2024-03-27 17:00:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40804558/article/details/137081754
版权
linux 同时被 3 个专栏收录
26 篇文章 0 订阅
订阅专栏
运维
23 篇文章 0 订阅
订阅专栏
systemd
6 篇文章 0 订阅
订阅专栏
本文详细介绍了systemd-journald在Linux系统中的作用,包括日志收集、存储、流日志处理、命名空间管理、信号处理以及配置选项,帮助读者理解这个关键的日志管理系统。
摘要由CSDN通过智能技术生成

文章目录

写在前面

本文主要是详细介绍了systemd-journald.service,主要翻译自英文原文文档(develop版本,截止到文章记录,最新版本是systemd 255)。linux系统服务管理器systemd在日志journal部分的systemd-journald.service。

主要是以下页面的翻译:
https://www.freedesktop.org/software/systemd/man/latest/systemd-journald.service.html#
其他相关文档请参考:systemd专栏
在这里插入图片描述
在这里插入图片描述

概述

systemd-journald.service

systemd-journald.socket

systemd-journald-dev-log.socket

systemd-journald-audit.socket

systemd-journald@.service

systemd-journald@.socket

systemd-journald-varlink@.socket

/usr/lib/systemd/systemd-journald

描述

systemd-journald 是收集和存储日志记录数据的系统服务。

它根据从各种来源收到的日志记录信息创建和维护结构化的索引日志:

  • Kernel log messages, via kmsg
    内核日志消息,通过 kmsg
  • Simple system log messages, via the libc syslog(3) call
    简单的系统日志消息,通过 libc syslog(3) 调用
  • Structured system log messages via the native Journal API, see sd_journal_print(3) and Native Journal Protocol
    通过本机日志 API 的结构化系统日志消息,参见 sd_journal_print(3) 和本机日志协议
  • Standard output and standard error of service units. For further details see below.
    服务单元的标准输出和标准误差。有关详细信息,请参见下文。
  • Audit records, originating from the kernel audit subsystem
    源自内核审计子系统的审计记录

守护程序将以安全且不可伪造的方式隐式收集每个日志消息的大量元数据字段。参见 systemd.journal-fields(7) 来获取有关所收集元数据的更多信息

日志收集的日志数据主要基于文本,但必要时也可以包括二进制数据。

构成日志中存储的日志记录的单个字段的大小可能高达2⁶⁴-1字节。

日志服务将日志数据永久存储在 /var/log/journal 下,或者以易失性的方式存储在 /run/log/journal/ 下(在后一种情况下,日志数据在重新启动时会丢失)。

默认情况下,如果启动期间 /var/log/journal/ 存在,则日志数据将永久存储,否则隐式回退到易失性存储。使用journald.conf(5) 中的Storage= 配置日志数据的放置位置,与/var/log/journal/ 是否存在无关。

请注意,journald 最初将使用易失性存储,直到调用journalctl --flush(或向journald 发送SIGUSR1 )将导致其切换到持久日志记录(在上述条件下)。这是通过“systemd-journal-flush.service” 在启动时自动完成的。

/var/log/journal/ 尚不存在但需要持久日志记录(并且使用默认的 Journald.conf )的系统上,创建目录就足够了,并确保它具有正确的访问模式和所有权:

mkdir -p /var/log/journal
systemd-tmpfiles --create --prefix /var/log/journal

流日志记录(Stream logging)

默认情况下,systemd 服务管理器使用连接到日志的标准输出和标准错误来调用所有服务进程。

此行为可以通过 StandardOutput= 或者StandardError= 单元文件设置进行更改,有关详细信息,请参阅 systemd.exec(5) 。日志将以这种方式接收到的日志字节流转换为单独的日志记录,并在换行符(“\n”,ASCII 10)和 NUL 字节 处分割流。

如果 systemd-journald.service 停止,则与所有服务关联的流连接将终止。服务进一步写入这些流将导致 EPIPE 错误。

为了在这种情况下做出适当的反应,建议记录到标准输出/错误的程序忽略此类错误。

如果 SIGPIPE UNIX 信号处理程序 未被阻止或关闭,此类写入尝试也将导致生成此类进程信号,请参阅 signal(7)

为了缓解此问题,systemd 服务管理器默 认显式关闭所有调用进程的 SIGPIPE 信号 (可以通过IgnoreSIGPIPE= 选项单独更改每个单元的 SIGPIPE 信号,有关详细信息,请参阅 systemd.exec(5) )。

标准输出/标准错误流终止后,它们可能无法恢复,直到与其关联的服务重新启动为止。

请注意,在正常操作期间,systemd-journald.service 在服务管理器中存储这些流的文件描述符的副本。如果使用 systemctl restart 或等效操作而不是一对单独的systemctl stopsystemctl start 命令(或等效操作)重新启动 systemd-journald.service ,则这些流连接不会终止并在重新启动后继续存在。因此,重新启动systemd-journald.service 是安全的,但不建议停止它。

请注意,通过此类标准输出/错误流传输的记录的日志记录元数据反映了最初为其创建流的对等方的元数据。如果将流连接传递到其他进程(例如从主服务进程分叉出来的其他子进程),则日志记录将不会反映其元数据,但将继续描述原始进程。这与上面列出的其他日志记录传输不同,后者本质上是基于记录的,并且元数据始终与单个记录相关联。

目前,将接受的 systemd-journald 并行日志流数量限制为 4096 。当达到此限制时,可能会建立进一步的日志流,但将从一开始就接收 EPIPE

日志命名空间(Journal Namespaces)

日志“命名空间”既是一种机制,用于从逻辑上将包含一个或多个服务的项目的日志流与系统的其余部分隔离开来,也是一种用于提高性能的机制。

多个日志命名空间可以同时存在,每个命名空间都定义自己的独立日志流,由自己的 systemd-journald 实例管理。命名空间在数据存储和IPC 接口 中都是相互独立的。

默认情况下,仅存在一个“默认”命名空间,由 systemd-journald.service (及其关联的套接字单元)管理。

通过启动 systemd-journald@.service 服务模板的实例来创建其他命名空间。

实例名称是命名空间标识符,它是用于引用日志命名空间的短字符串。

可以通过 LogNamespace= 单元文件设置将服务单元分配给特定的日志命名空间,详见 systemd.exec(5)。

journalctl(1) --namespace= 的开关可用于查看特定命名空间的日志流。

如果未使用该开关,则会显示默认命名空间的日志流,例如,来自其他命名空间的log数据不可见。

与特定日志命名空间关联的服务可以通过 syslog(日志的本机日志记录协议)和 stdout/stderr 进行日志记录;所有三个传输的日志记录都与命名空间相关联。

默认情况下,只有默认命名空间会收集内核和审核日志消息。

默认命名空间的systemd-journald 实例是通过 /etc/systemd/journald.conf (见下文)配置的,而其他实例是通过 /etc/systemd/journald@NAMESPACE.conf 配置的。

默认命名空间的日志数据位于 /var/log/journal/MACHINE_ID (见下文),而其他命名空间的数据位于 /var/log/journal/MACHINE_ID.NAMESPACE

信号 Signals

SIGUSR1

请求将日志 /run/ 数据刷新到 /var/ ,以使其持久化(如果启用此功能)。

这必须在挂载 /var/ 后使用,否则无论配置如何,来自 /run/ 的日志数据都不会刷新到 /var/ 。使用journalctl --flush 命令请求刷新日志文件,并等待操作完成。详细信息请参见journalctl(1)

SIGUSR2

请求立即轮换日志文件。使用 journalctl --rotate 命令请求日志文件轮换,并等待操作完成。

SIGRTMIN+1

请求将所有未写入的日志数据写入磁盘。使用 journalctl --sync 命令触发日志同步,并等待操作完成。

内核命令行 Kernel Command Line

在内核命令行上可以覆盖一些 journald.conf 配置参数:

systemd.journald.forward_to_syslog=

启用/禁用将收集的日志消息转发到 syslog

systemd.journald.forward_to_kmsg=

启用/禁用将收集的日志消息转发到 内核日志缓冲区

systemd.journald.forward_to_console=

启用/禁用将收集的日志消息转发到 系统控制台

systemd.journald.forward_to_wall=

启用/禁用将收集的日志消息转发到 wall

访问控制 Access Control

默认情况下,日志文件由“ systemd-journal ” 系统组拥有和读取,但不可写。

因此,将用户添加到此组使他们能够读取日志文件。

默认情况下,每个用户(超出系统用户的UID 动态服务用户nobody 用户 )将在 /var/log/journal/ 获取他们自己的日志文件集合。但是,这些日志文件将不归用户所有,以避免用户可以直接写入它们。相反,文件系统 ACLs 用于确保用户仅获得读取访问权限。

其他用户和组可以通过文件系统访问控制列表 (ACL) 被授予对日志文件的访问权限。发行版和管理员可以选择使用如下命令授予对 “ wheel ” 和 “ adm ” 系统组的所有成员的读取访问权限:

setfacl -Rnm g:wheel:rx,d:g:wheel:rx,g:adm:rx,d:g:adm:rx /var/log/journal/

请注意,此命令将更新现有日志文件和未来在/var/log/journal/ 目录中创建的日志文件的ACL

文件 Files

/etc/systemd/journald.conf

配置 systemd-journald 行为

/run/log/journal/machine-id/*.journal
/run/log/journal/machine-id/*.journal~

/var/log/journal/machine-id/*.journal
/var/log/journal/machine-id/*.journal~

systemd-journald 将记录写入 /run/log/journal/machine-id//var/log/journal/machine-id/ 中带有“.journal” 后缀的文件。如果守护进程不正常停止,或者发现文件已损坏,则会使用“.journal~” 后缀重命名它们,并且 systemd-journald 开始写入新文件。当 /var/log/journal 不可用或在journald.conf(5) 配置文件中设置 Storage=volatile 时,使用 /run/
当停止写入日志文件时 systemd-journald ,它将重命名为“ original-name@suffix.journal ” (或“ original-name@suffix.journal~ ” )。此类文件已“存档”,不会再写入任何内容。

通常,读取或复制任何日志文件(活动或存档)都是安全的。

journalctl(1)sd-journal(3) 库中的函数应该能够读取所有已完全写入的记录。

systemd-journald 将自动删除最早的存档日志文件以限制磁盘使用。参见 SystemMaxUse= journald.conf(5) 中的相关设置。

/dev/kmsg, /dev/log, /run/systemd/journal/dev-log, /run/systemd/journal/socket, /run/systemd/journal/stdout

/dev/kmsg
/dev/log
/run/systemd/journal/dev-log
/run/systemd/journal/socket
/run/systemd/journal/stdout

systemd-journald 将侦听并在文件系统中可见的套接字和其他文件节点路径。除此之外,systemd-journald 还可以使用 netlink(7) 监听审核事件, 这取决于是否启用了 “ systemd-journald-audit.socket ”

湖光秋色
关注
专栏目录
Linux系统中的日志管理 ---systemd-journald日志(journalctl命令的用法)和 rsyslog 日志(自定义日志采集路径、更改日志采集格式和日志的远程同步)
Horizon_carry的博客
05-08 1337
一、实验环境 Horizon_carry: 172.25.254.10 carry: 172.25.254.20 Horizon_carry & carry: systemctl stop firewalld.service ##关闭火墙 二、systemd-journald 1.systemd-journald 服务名称:systemd-jo...
Linux系统中的日志管理 ---systemd-journald日志(journalctl命令的用法)和 rsyslog 日志(自定义日志采集路径、更改日志采集格式和日志的远程同步)
Rengar_Yang的博客
07-01 8671
一、实验环境 1 | yxy.westos.com : 172.25.254.10 2 | lww.westos.com : 172.25.254.20 3 | yxy.westos.com & lww.westos.com : systemctl stop firewalld.service ##关闭火墙 二、systemd-journald 1.systemd-journald 服务名称:systemd-journald.service systemd-journald可移植性高
K8S部署(Elasticsearch+Kibana+Fluentd)
liuchao666888的博客
10-26 5526
实验环境版本 Kubernetes:v1.14.1 Elasticsearch镜像:docker.elastic.co/elasticsearch/elasticsearch:7.6.2 Kibana 镜像:docker.elastic.co/kibana/kibana:7.6.2 Fluentd 镜像:quay.io/fluentd_elasticsearch/fluentd:v3.0.1 简介 1、Elasticsearch Elasticsearch 是一个实时的、分布式的可扩展的搜索引擎,允许进行
systemd-journald日志服务:systemd-journald-audit.socket
最新发布
追寻梦想的青春
08-26 1537
systemd-journald的作用是收集系统启动阶段的日志以及服务在启动和运行中的日志,因此,如果服务是用systemd管理的,打印到标准输出的信息就会作为日志被systemd-journal获取到。前面systemd-journald的配置可以看出,日志在保存时可以保存在内存,也可以保存在磁盘,保存在内存中的日志,当机器重启就没了,但是性能会比较好,保存在磁盘中的日志,重启还在,但是性能会差一些。为了提高日志存储的效率,日志保存的格式肯定会采用二进制的方式,因此,无法直接打开日志文件查看,需要使用。
Linux——systemd-journald.service简介
小顽固的博客
10-23 6555
过去只有 rsyslogd 的年代中,由于 rsyslogd 必须要开机完成并且执行了 rsyslogd 这个 daemon 之后,登录文件才会开始记录。所以,核心还得要自己产生一个 klogd 的服务, 才能将系统在开机过程、启动服务的过程中的信息记录下来,然后等 rsyslogd 启动后才传送给它来处理~现在有了 systemd 之后,由于这玩意儿是核心唤醒的,然后又是第一支执行的软件,它可以...
systemdjournalctl
kepa520的博客
12-03 1214
原文地址:https://www.cnblogs.com/itxdm/p/Systemd_log_system_journalctl.html Systemd 日志系统 一、前言 昨天写了一篇文章,内容为:Systemd 常规操作与彩蛋,参考了 ArchLinux 官方文档并结合培训中的思路进行了部分修改补充。如果你懂得了基础的管理,那必然还需要做维护和审计。这时候就需要 Redhat7 中...
鸟哥linux私房菜第版服务,18.4 systemd-journald.service 简介
weixin_32232809的博客
05-07 402
18.4 systemd-journald.service 简介过去只有 rsyslogd 的年代中,由于 rsyslogd 必须要开机完成并且执行了 rsyslogd 这个 daemon 之后,登录文件才会开始记录。所以,核心还得要自己产生一个 klogd 的服务, 才能将系统在开机过程、启动服务的过程中的信息记录下来,然后等 rsyslogd 启动后才传送给它来处理~现在有了 systemd ...
Linux 问题解决 :/lib/systemd/systemd-journald 占用内存过高
个人博客
05-29 1万+
早上在用htop查看Linux系统状况时,发现/lib/systemd/systemd-journald占用了过高的内存。 然后我感觉是因为我的Java程序遇到问题阻塞了的原因,我先把JVM的内存dump出来: jmap -dump:format=b,file=dump.hprof pid 然后还没等我看详细情况,这个任务的占用就下去了 下次再出现这种情况时再查吧。 ...
Linux系统中 systemd-journaldCPU占用异常的解决方法
weixin_41540362的博客
04-18 1万+
一、待解决问题 先贴几张图,问题解决之前最头疼的问题(因打印日志的高占用——以致CPU占用高达96%,已经无法满足日常使用) 从图中可见systemd-journald占用了1/4的CPU资源(注:我是用的是Deepin系统) 二、解决办法 因为要解决这个问题,我在网上找了很多,其中大概都是如下的解决方法: https://www.jianshu.com/p/8b3fba13...
Linux系统中的日志管理及优化方式
Thorne_lu的博客
03-01 1378
前言 日志的采集是由各个程序来完成的,因为你的程序会将自己的某些执行信息书写到日志中。 而journald和rsyslog是用来采集日志的,并以某种格式保存。在企业7之前只有rsyslog。在企业7之后两个都有。 journald是无法关闭的。 在系统中做任何重大的设置修改,都会产生日志。 实验环境 rhel7_node1:172.25.254.11 rhel8_node1:172.25.254...
18.4 【Linuxsystemd-journald.service 简介
明确的爱,真诚的喜欢,直接的厌恶,站在太阳底下的坦荡,被坚定的选择。
09-15 287
现在有了systemd之后,它可以主动调用systemd-journald来协助记载登录文件,因此在开机过程中的所有信息,包括启动服务与服务若启动失败的情况等等,都可以直接被记录到 systemd-journald 里头去。
systemd-journald日志管理服务详解
qq_48391148的博客
11-09 1215
Amazonlinux2023系统默认不再安装rsyslog,因此在amazonlinux2中的诸多日志文件例如/var/log/message默认不可用。
systemd-journald日志清理
热门推荐
漠效的博客
09-18 1万+
前言 在Centos系统中有两个日志服务 rsyslog和systemd-journal。 rsyslog是传统的系统日志服务,它会把所有日志都记录到/var/log/目录下的各个日志文件中,永久性的保存。 systemd-journal是syslog 的补充,收集来自内核、启动过程早期阶段、标准输出、系统日志、守护进程启动和运行期间错误的信息,它会默认把日志记录到/run/log/journa...
systemd-journald.service 简介
whime
10-23 4618
      在开机过程中的所有信息,包括启动 服务与服务若启动失败的情况等等,都可以直接被记录到 systemd-journald。 使用 journalctl 观察登录信息 logger 指令的应用   /var/log/journal用于保存systemd-journald.servicd的讯息。  ...
systemd-journald日志进程介绍
legend050709的专栏
12-06 6970
journald
44. 日志管理之systemd日志,持久化设置,journal,systemd-journald,查看日志(journalctl)
细致-专业-实操
01-07 8995
日志管理之systemd日志,持久化设置,journal,systemd-journald,查看日志(journalct CentOS 7 使用systemd-journald来做日志中心库(生成日志文件夹),systemd-journald 守护进程提供一种改进的日志管理服务,可以收集来自内核,启动过程的早期阶段,标准输出,系统日志,以及服务,守护进程启动和运行期间的错误的消息。 持久化systemd日志 默认情况下,systemd 的日志保存在 /run/log/journal 中,系统重启
LINUX(redhat)学习之系统日志-systemd-journal
qq_36265384的博客
04-18 4109
redhat 7 新开的系统日志(一次性的日志,保存在内存中比较详细)------------------------命令-------------journal的日志存放在   /run/log/ 下面的journalctl:(直接执行列出所有日志)-n:指定显示多少行(显示最后多少行)-p:指定日志级别(如只查错误日志:journalctl -p error)-f:动态显示日志-o verbo...
linux学习-systemd-journald.service 简介
weixin_30919429的博客
11-01 356
过去只有 rsyslogd 的年代中,由于 rsyslogd 必须要开机完成并且执行了 rsyslogd 这个 daemon 之 后,登录文件才会开始记录。所以,核心还得要自己产生一个 klogd 的服务, 才能将系统在开机过 程、启动服务的过程中的信息记录下来,然后等 rsyslogd 启动后才传送给它来处理 现在有了 systemd 之后,由于这玩意儿是核心唤醒的,然后又是第一支执行的软件,它...
systemd-journald.service 单元 在哪个配置文件
06-01
`systemd-journald.service` 单元文件的位置在 `/usr/lib/systemd/system/systemd-journald.service`。这是系统级别的默认配置文件,如果你需要修改该文件,建议不要直接修改该文件,而是通过创建一个 `/etc/systemd/system/systemd-journald.service.d/` 目录,并在该目录中创建一个 `.conf` 文件来进行修改。 具体来说,你可以执行以下步骤: 1. 创建目录 `/etc/systemd/system/systemd-journald.service.d/`: ``` sudo mkdir -p /etc/systemd/system/systemd-journald.service.d/ ``` 2. 在该目录中创建一个 `.conf` 文件,例如 `custom.conf`: ``` sudo nano /etc/systemd/system/systemd-journald.service.d/custom.conf ``` 3. 在 `custom.conf` 文件中添加你需要修改的选项,例如: ``` [Service] SystemCallFilter=~@clock,@cpu-emulation,@debug,@module,@obsolete,@raw-io,read,write,futex,sigreturn ``` 4. 保存文件并退出编辑器。 5. 重新加载 systemd 配置并重启 journald 服务以使配置生效: ``` sudo systemctl daemon-reload sudo systemctl restart systemd-journald.service ``` 这样,你就成功地修改了 journald 的配置,并且保证了在系统更新时不会被覆盖。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值