journal和rsyslog的恩怨情仇

已于 2024-05-21 22:03:30 修改
阅读量696 收藏 25
点赞数 27
文章标签: linux
于 2024-05-21 21:58:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiayutian747/article/details/139039529
版权

  

背景


        在复杂的嵌入式环境中,通常使用systemd管理服务,以及通过syslog向上层application提供日志存储功能。

        这里有如下问题:

        1.systemd自带journal日志管理。

        2.syslog流程是怎么样的。

        3.journal和rsyslog放一起会发生化学反应吗?两者如何分工协作?

环境


        本文案例基于linux开源学习项目:linux-ps / ls · GitCode

        该项目基于yocto搭建了一整套qemuarm64的环境,学习使用参考前期博文。

分析

syslog

syslog是什么

        man 一下:

        即是向系统log存储日志的一个接口。存在于glibc,供大家使用统一管理日志。

        那么他提供什么规则来撑起linux的日志?

        syslog的日志类别

        分别为如下实体定义了特定的日志输出类(misc\sys\syslog.h):

CODE facilitynames[] =
  {
    { "auth", LOG_AUTH },
    { "authpriv", LOG_AUTHPRIV },
    { "cron", LOG_CRON },
    { "daemon", LOG_DAEMON },
    { "ftp", LOG_FTP },
    { "kern", LOG_KERN },
    { "lpr", LOG_LPR },
    { "mail", LOG_MAIL },
    { "mark", INTERNAL_MARK },		/* INTERNAL */
    { "news", LOG_NEWS },
    { "security", LOG_AUTH },		/* DEPRECATED */
    { "syslog", LOG_SYSLOG },
    { "user", LOG_USER },
    { "uucp", LOG_UUCP },
    { "local0", LOG_LOCAL0 },
    { "local1", LOG_LOCAL1 },
    { "local2", LOG_LOCAL2 },
    { "local3", LOG_LOCAL3 },
    { "local4", LOG_LOCAL4 },
    { "local5", LOG_LOCAL5 },
    { "local6", LOG_LOCAL6 },
    { "local7", LOG_LOCAL7 },
    { NULL, -1 }
  };

        举几个例子:

        #define    LOG_CRON    (9<<3)    /* clock daemon */    为定时相关的日志,于是乎,在其他代码中,基本不会混乱使用,而在crond代码中,会使用该日志实体。 (其余类似)

        syslog实体等级

        当然,每个实体均存在不同等级。

CODE prioritynames[] =
  {
    { "alert", LOG_ALERT },
    { "crit", LOG_CRIT },
    { "debug", LOG_DEBUG },
    { "emerg", LOG_EMERG },
    { "err", LOG_ERR },
    { "error", LOG_ERR },		/* DEPRECATED */
    { "info", LOG_INFO },
    { "none", INTERNAL_NOPRI },		/* INTERNAL */
    { "notice", LOG_NOTICE },
    { "panic", LOG_EMERG },		/* DEPRECATED */
    { "warn", LOG_WARNING },		/* DEPRECATED */
    { "warning", LOG_WARNING },
    { NULL, -1 }
  };

        也就是说,syslog已经定义了很多日志实体和等级供开发者选择。

        syslog流程

        (misc\syslog.c), 实际很简单,就是添加日志前缀,向/dev/log 使用udp发送log日志,整理如下:

关键的几个地方:

        1.当openlog的时候,根据参数控制是否直接创建并连接socket。

        2.每次发送log,用户态将申请8k的buf使用,然后释放。

        3.线程之间存在锁。

        4.发送时,使用udp,MSG_NOSIGNAL,并没有使用MSG_DONTWAIT,即可能阻塞。

rsyslog是什么

        syslog仅仅是c库中转发日志的api,并没有做日志管理。而rsyslog才是日志管理模块。见:

        rsyslog的内容较多,这里给出参考资料,然后说明重要的点。

        rsyslog官网:Welcome to Rsyslog — Rsyslog documentation

        rsyslog的配置:

        rsyslog的main配置存在于/etc/rsyslog.conf,部分截图如下:

        配置规则参考:https://www.rsyslog.com/doc/configuration/index.html

        主要支持三种配置:

        1.basic format:基本方式previously known as the sysklogd format,

        举例:

                mail.info /var/log/mail.log

                mail.err @@server.example.net

        2.advanced format:reviously known as the RainerScript format,

        mail.err action(type="omfwd" protocol="tcp" queue.type="linkedList")

        3.obsolete legacy format:previously known simply as the legacy format

废弃,不在使用。

        basic format规则:

        整体规则分为:

       SELECTORS   ACTIONS

        SELECTORS   由两部分组成,a facility and a priority。

        对了,参考上述章节syslog实体和等级,等于[syslog实体].[等级]。

        比如:kern.notice    mail.info 等等。

        支持模糊匹配。

        ACTIONS: 

        就是描述log文件的行为,目前我们主要是定义文件位置。

        #mail.info -/log/mail.info

        就是将mail.info类日志存放到/log/mail.info

        -代表异步。

        好了,这里大家值得注意,/log/mail.info 这个是rsyslog存放实际日志的地方。

        journal

        问题来了,syslog这个跟journal有什么关系?

        先介绍下 journal,journal是systemd的日志管理方案。使用journalctl查看和管理systemd日志(适用于大多数现代Linux发行版)Sytemd日志由journalctl管理,journalctl本身支持落盘。

        参考资料:https://www.freedesktop.org/software/systemd/man/latest/journalctl.html# 

        示例如下:

       

        配置如下,配置说明见连接:

        

恩怨情仇

        那么问题来了,rsyslog管理日志,journal也管理日志,是独立的吗?

        在syslog和journal同时存在时,日志到底发生了什么?

        核心图:

                实际案例:


rsyslogd的线程。
:/userdata# ll /proc/1531/fd/3
lrwx------ 1 root root 64 Jan  1 13:46 /proc/1531/fd/3 -> socket:[20553]

unix  2      [ ]         DGRAM                    20553    /run/systemd/journal/syslog
unix  8      [ ]         DGRAM                    20539    /run/systemd/journal/dev-log


:/userdata# ll /proc/1535/fd/6
l-wx------ 1 root root 64 Jan  1 14:19 /proc/1535/fd/6 -> /userdata/LOG_LOCAL_LOG_DEBUG.log

strace -p 1533
recvmsg(3, {msg_name=NULL, msg_namelen=0, msg_iov=[{iov_base="<135>Jan  1 14:20:59 LOG_NDELAY:"..., iov_len=8096}], msg_iovlen=1, msg_control=[{cmsg_len=32, cmsg_level=SOL_SOCKET, cmsg_type=SO_TIMESTAMP_OLD, cmsg_data={tv_sec=946707659, tv_usec=833484}}, {cmsg_len=28, cmsg_level=SOL_SOCKET, cmsg_type=SCM_CREDENTIALS, cmsg_data={pid=1585, uid=0, gid=0}}], msg_controllen=64, msg_flags=0}, MSG_DONTWAIT) = 69


/userdata# ps -elfT | grep rsys
4 S root        1531    1531       1  0  80   0 - 73219 do_sel 13:46 ?        00:00:00 /usr/sbin/rsyslogd -n -iNONE
1 S root        1531    1532       1  0  80   0 - 73219 do_sel 13:46 ?        00:00:00 /usr/sbin/rsyslogd -n -iNONE
5 S root        1531    1533       1  0  80   0 - 73219 do_sys 13:46 ?        00:00:17 /usr/sbin/rsyslogd -n -iNONE  1533
1 S root        1531    1534       1  0  80   0 - 73219 do_sys 13:46 ?        00:00:00 /usr/sbin/rsyslogd -n -iNONE
5 S root        1531    1535       1  0  80   0 - 73219 futex_ 13:46 ?        00:00:11 /usr/sbin/rsyslogd -n -iNONE  写盘
0 S root        1691    1691    1233  0  80   0 -   752 pipe_r 14:20 pts/1    00:00:00 grep rsys

unix  8      [ ]         DGRAM                    20539    /run/systemd/journal/dev-log
journald
recvmsg(5, {msg_name=0xffffef35d170, msg_namelen=128 => 0, msg_iov=[{iov_base="<135>Jan  1 14:34:47 LOG_NDELAY:"..., iov_len=24575}], msg_iovlen=1, msg_control=[{cmsg_len=32, cmsg_level=SOL_SOCKET, cmsg_type=SO_TIMESTAMP_OLD, cmsg_data={tv_sec=946708487, tv_usec=242530}}, {cmsg_len=28, cmsg_level=SOL_SOCKET, cmsg_type=SCM_CREDENTIALS, cmsg_data={pid=1585, uid=0, gid=0}}], msg_controllen=64, msg_flags=MSG_CMSG_CLOEXEC}, MSG_DONTWAIT|MSG_CMSG_CLOEXEC) = 69
sendmsg(5, {msg_name={sa_family=AF_UNIX, sun_path="/run/systemd/journal/syslog"}, msg_namelen=29, msg_iov=[{iov_base="<135>Jan  1 14:34:47 LOG_NDELAY:"..., iov_len=69}], msg_iovlen=1, msg_control=[{cmsg_len=28, cmsg_level=SOL_SOCKET, cmsg_type=SCM_CREDENTIALS, cmsg_data={pid=1585, uid=0, gid=0}}], msg_controllen=28, msg_flags=0}, MSG_NOSIGNAL) = 69
faccessat(AT_FDCWD, "/run/systemd/journal/flushed", F_OK) = 0
mkdirat(AT_FDCWD, "/var/log/journal/e62c7874699a4022a151c537eb5f3613", 0755) = -1 ENOENT (No such file or directory)
/userdata# ls -l /proc/341/fd/5
lrwx------ 1 root root 64 Jan  1 08:00 /proc/341/fd/5 -> socket:[20539]

        从上图看,当journal和rsyslog同时存在的时候:

        1、/dev/log -> /run/systemd/journal/dev-log   /dev/log的实体为journal创建的socket:

        

        2.即使如此,syslog依旧无脑向/dev/log发送、

        

        3.rsyslog不会从/dev/log接收,然而从/run/systemd/journal/syslog接收消息。

        

unix  2      [ ]         DGRAM                    12376    /run/systemd/journal/syslog

        4./run/systemd/journal/syslog由jounal写入。

        5.rsyslog从/run/systemd/journal/syslog接收消息,然后罗盘。

       

        6.journal本身支持落盘。

总结:

        在同时存在journal和rsyslog的时候,syslog将先转给journal,然后由journal转给rsyslog,rsyslog分线程存储日志。

        因此是比较波折的过程。在配置rsyslog的时候,一定将不需要的调试日志剥离。

        为啥不直接用journal?

        因为他的日志不直接可读,需要使用journalctl解析、

有问题欢迎一起讨论。

        

dhall
关注
  • 27
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
linux采集日志 ---- journalctl与rsyslog
ly_qiu的博客
04-30 2040
对比journalrsyslog journal 是将所有的日志都存放起来,用日志查看工具,来对我们的日志进行分析。 rsyslog 在采集的过程中,就将我们的日志分门别类的放到指定的不同类型中。 实验环境 要求:需要2台可以通信的主机,如果自己没法ping通,请参考虚拟机的网络配置先进行设置。 以我的电脑为例: xixi: 172.25.254.33 workstation: 172...
linuxjournalctl和rsyslog
JackLiu16的博客
01-07 5979
一、前言 昨天写了一篇文章,内容为:Systemd 常规操作与彩蛋,参考了 ArchLinux 官方文档并结合培训中的思路进行了部分修改补充。如果你懂得了基础的管理,那必然还需要做维护和审计。这时候就需要 Redhat7 中的systemd 架构下的——systemd-journald。 下有俩例子对比 init.d 和 systemd : service daemon --->
Linux系统日志管理:syslogjournalctl等命令的使用教程和技巧
科技改变人类,技术成就未来
07-08 959
Linux系统中,系统日志管理是非常重要的,它可以帮助你监控系统状态、发现问题并进行故障排除。本文将介绍如何使用 syslogjournalctl 管理和查看系统日志,并通过实际案例展示如何查看和分析系统日志。
Linux日志管理:journald和rsyslog
Gong_yz的博客
01-06 2229
本节归纳日志管理和主机时间的修改,包括:如何永久查看日志、如何将日志文件保存在自己想要指定的目录中、如何远程同步日志、如何修改日志显示的格式、时间的查看和更改、同步其他主机的时间等
Linux 日志管理journald和rsyslog
weixin_42688499的博客
04-17 5979
目录 1、systemd-journald和rsyslog相关概念 1.1、常见的日志分类 2、查看系统日志文件(日志记录设备和优先级) 2.1、日志设备 2.2、日志优先级 2.3、Rsyslog规则示例 2.4、手动发送syslog消息 2.5、日志轮替 3、查看内存日志 3.1、查看内存日志 3.2、显示最后n个日志条目 3.3、显示最后10个日志条目,并实时更新新写入的日志条目。 3.4、根据日志条目的优先级过滤日志输出 3.5、查看指定时间段的日志 3.6、从末尾查看
Linuxrsyslogjournal对系统日志进行管理
weixin_43314056的博客
10-18 3272
系统日志在管理中的作用: 系统日志具有审计与监测作用,通过对日志中相关信息的分析,可以检查系统发生错误的相关信息,实时进行监控。有效利用日志信息并会分析与监控管理,对维护系统安全性有重要作用。 系统日志分类 ###系统日志一般存放在/var/log/file下 /var/log/messages ###记录服务信息,系统报错信息等 /var/log/secure ###存放用户认证相关信...
5 rsyslog日志管理
ZZULI_Miriam的博客
06-26 1005
rsyslog Linux的日志记录了用户在系统上一切操作,看日志去分析系统的状态是运维人员必须掌握的基本功。rsyslog日志服务器的优势:1、日志统一,集中式管理  2、日志实时传送到一个更加安全的远端服务器上,真正记录用户行为,使日志的2次更改可能性大大降低,从而能够对日志进行真实回放,便于问题追踪。rsyslog的新功能:    rsyslog是一个加强版的syslog,具有各种各样的新功...
Linux系统中的日志管理——journalrsyslog、timedatectl、时间同步
qq_45225437的博客
02-14 1060
文章目录一、日志二、journal1.基础知识2. journalctl命令的用法3. 用journalctl服务永久存放日志三、rsyslog1. 基础知识2. 自定义日志采集路径3. 更改日志采集格式4. 日志的远程同步四、timedatectl五、时间同步服务 一、日志 日志:系统中重大事件的文字记录 日志的生成由各个程序决定,日志的采集由日志管理服务:Journalrsyslog完成 ...
journal/rsyslog日志丢失问题解决
legend050709的专栏
12-06 1864
syslog
ansible-rsyslog:在类似Debian的系统中管理rsyslogrsyslog.d的角色
05-05
在类似Debian的系统中管理rsyslogrsyslog.d。 要求 没有任何 变数 rsyslog_repeated_msg_reduction :[默认: true ]:重复消息减少 rsyslog_file_owner :[默认: syslog ,Debian上的root ]:设置新创建的...
Linux系统中的日志管理 ---systemd-journald日志(journalctl命令的用法)和 rsyslog 日志(自定义日志采集路径、更改日志采集格式和日志的远程同步)
Rengar_Yang的博客
07-01 8294
一、实验环境 1 | yxy.westos.com : 172.25.254.10 2 | lww.westos.com : 172.25.254.20 3 | yxy.westos.com & lww.westos.com : systemctl stop firewalld.service ##关闭火墙 二、systemd-journald 1.systemd-journald 服务名称:systemd-journald.service systemd-journald可移植性高
Linux系统中的日志管理
baidu_40389082的博客
02-14 741
企业级日志管理及优化方式 前言 什么是日志? 系统不会说话,系统有什么状况和问题通过日志告诉给管理员 本章讲解日志的采集方式有:journald和rsyslog,这两个命令是完成日志的采集工作,不是产生日志的,是日志的搬运工! 采集命令不同,采集方式不同,让我们一起来探索吧 系统启动自动打开的shell会一直产生日志 Linux系统中运行的程序通常会把一些系统消息和错误消息写入对应的日志中,若是...
Linux环境下通过journal命令查看和管理日志
AlbertS Home of Technology
12-22 4996
就在半月之前,负责打包更新的服务器突然登录不上去了,赶紧找来运维的同事帮忙解决,发现系统日志中有很多 `systemd-journald[424]: Failed to open runtime journal: No space left on device` 字样的错误,被告知磁盘满了需要清理,但是我当时登录不上去,只能让他们帮忙重启后利用单用户模式上去删除临时文件试试,但重启后发现问题解决了,很是诧异,查询服务器后台监控平台,发现磁盘空间还有50%,inode只占用了0.02%,这怎么会磁盘满了呢..
Centralizing journal with Syslog
liukuan73的专栏
09-09 2084
https://www.loggly.com/ultimate-guide/centralizing-with-syslog/ The syslog protocol is often useful for sending logs to external locations such log management systems or legacy systems. However, si
LinuxLinux中的日志管理:SyslogJournalctl
最新发布
科技改变人类,技术成就未来
08-20 920
日志管理在Linux系统中是非常重要的,它帮助管理员监控系统运行状态、排查问题和进行审计。SyslogJournalctl是两种常用的日志管理工具。本文将详细介绍这两种工具的原理、配置和使用方法。
journal log:通过syslog输出log
风静如云的博客
06-17 308
6月 17 23:08:21 VirtualBox syslog[21316]: hello warning。6月 17 23:08:21 VirtualBox syslog[21316]: hello debug。6月 17 23:08:21 VirtualBox syslog[21316]: hello info。6月 17 23:08:21 VirtualBox syslog[21316]: hello err。可以通过-p n来过滤log的level。
Linux 日志管理介绍
m0_49864110的博客
02-23 2793
Linux目前主要有两种日志服务,分别是传统的rsyslog和新添加的systemd-journalrsyslog作为传统的系统日志服务,会把所有收集到的日志都记录到/var/log目录下的各个日志文件中一些rsyslog无法收集的日志也会被journal记录到作为改进型的日志管理服务,可以收集来自内核、系统启动阶段的日志、系统守护进程在启动和运行中的标准输出和错误信息、还可以收集syslog服务的日志;
基于Yocto和Buildroot平台的Syslog 配置
星空语_的博客
08-07 1314
2. Syslog简介 2.1. 简介 在Unix类操作系统上,syslog广泛应用于系统日志,负责记录内核和应用程序产生的日志信息。syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。 2.2. 日志格式 规定syslog消息的UDP报文不能超过1024字节,并且全部由可打印的字符组成。完整的syslog消息
rsyslog.service和rsyslog 区别
05-25
rsyslog是一个系统日志记录工具,而rsyslog.service是rsyslog服务的系统服务单元文件。系统服务单元文件是用于启动、停止和管理系统服务的配置文件。rsyslog.service文件定义了如何启动、停止和重启rsyslog服务,以及在系统启动时自动启动该服务。因此,rsyslog是实际的应用程序,而rsyslog.service是用于控制和管理该应用程序的系统服务单元文件。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值