Системный менеджер systemd присутствует в большинстве современных Linux-дистрибутивов, в том числе, в Ubuntu, Debian и CentOS. С помощью systemd выполняется управление сервером и службами (например, их запуск и остановка), а также — ведение логов. В журнал systemd (компонент journal) собираются все системные сообщения — от ядра, служб и приложений. Логирование systemd может использоваться параллельно с syslog либо заменить его.
Для работы с логами используется утилита journalctl.
Просмотр и фильтрация логов
Отображение времени в логах
Просматривать записи логов можно как с указанием местного времени, так и с указанием UTC — достаточно внести в команду опцию --utc.
По умолчанию в выводе будет указано местное время. Чтобы убедиться, что часовой пояс задан верно, можно выполнить:
Корректное местное время должно быть выведено в строке Local time.
Если требуются изменения, можно просмотреть весь список часовых поясов:
После чего установить нужный:
Далее можно еще раз выполнить проверку с помощью timedatectl status.
Фильтр по определенной загрузке
Вывод событий из последней (то есть текущей) загрузки выполняется с помощью опции -b:
Если нужно указать UTC вместо местного времени:
Вывод списка доступных загрузок:
Пример вывода:
Чтобы просмотреть данные конкретной загрузки из списка, необходимо указать ее порядковый номер (первая колонка в выводе) или ID (вторая колонка):
Если по умолчанию данные предыдущих загрузок не сохраняются, необходимо внести изменения в конфигурационный файл:
И заменить значение для Storage на persistent:
Фильтр по временному промежутку
Если интересующий нас период не совпадает с той или иной загрузкой, можно указывать конкретное время. Для этого используются:
- опции --since (начиная с) и --until (до)
- время в формате: "ГГГГ-ММ-ДД ЧЧ:ММ:СС"
- ключи yesterday, today, now (вчера, сегодня, сейчас)
Например, вывод событий с указанного времени по текущий момент:
Вывод событий за конкретный период:
Вывод событий со вчерашнего дня:
Фильтр по службе (юниту)
Если нас интересуют только события конкретной службы, можно использовать:
Дополнительно могут быть внесены временные параметры. Например, чтобы просмотреть события Nginx за определенные часы, выполним:
Можно указывать более одного юнита:
Фильтр событий ядра
Можно отдельно вывести только события kernel. Для этого используется -k.
Например, чтобы просмотреть такие события в одной из предыдущих загрузок, выполним:
Фильтр по пользователю, группе или процессу
Есть возможность просматривать данные для конкретного PID, UID, GID:
Например, чтобы вывести только сегодняшние события, связанные с определенным процессом, выполним:
Получить список всех ID, записи о которых есть в логах, можно с помощью:
Фильтр по приоритету
С помощью опции -p можно вывести только события, начиная с определенного уровня приоритета. Уровни следующие:
- 0: emerg (авария, неработоспособность системы)
- 1: alert (тревога, требует немедленного внимания)
- 2: crit (критическое состояние)
- 3: err (ошибка)
- 4: warning (предупреждение)
- 5: notice (уведомление)
- 6: info (информация)
- 7: debug (отладка)
В команде можно указывать как название уровня, так и его числовое обозначение.
Например, следующей командой мы можем вести все события в текущей загрузке, имеющие уровень 3 (ошибка) и выше:
Настройка отображения
Базовые настройки
Сокращение строк по ширине окна терминала:
Запись в стандартный вывод (чтобы сделать возможной обработку другими утилитами, например, grep, или сохранение в текстовый файл):
Форматы вывода
Специфический формат вывода можно указать с помощью -o:
Доступные форматы:
- cat — только само сообщение из лога, без служебной информации;
- export — бинарный формат, подходящий для экспорта или бэкапов логов;
- json — стандартный .json, с одной записью на строку;
- json-pretty или json-sse — удобный для чтения .json;
- short — формат вывода syslog;
- short-iso — формат вывода syslog с метками времени по стандарту ISO8601;
- short-monotonic — формат вывода syslog с монотонными временными метками;
- short-precise — формат вывода syslog с указанием времени с точностью до микросекунд;
- verbose — максимально подробный вывод, со скрытыми полями.
Пример использования:
Отображение недавних событий
По умолчанию будут выведены последние 10 событий:
Их количество можно уточнить, например:
Вывод на экран событий в режиме реального времени:
Управление журналом
Занимаемый объем
Узнать, сколько места на диске занимает журнал на текущий момент, можно с помощью:
Ограничение объема
Вы можете настроить лимиты для журнала, отредактировав его конфигурационный файл:
Можно настроить следующие параметры:
- SystemMaxUse= Максимальный объем на диске, который может занимать журнал.
- SystemKeepFree= Объем, который должен оставаться свободным на диске после сохранения логов.
- SystemMaxFileSize= Максимальный объем файла лога, при достижении которого он должен быть удален.
- RuntimeMaxUse= Максимальный объем, который могут занимать логи в файловой системе /run.
- RuntimeKeepFree= Объем, который должен оставаться свободным в файловой системе /run после сохранения логов.
- RuntimeMaxFileSize= Максимальный объем файла лога, при достижении которого он должен быть удален из файловой системы /run.
Удаление старых записей
Для удаления старых логов и уменьшения объема журнала можно использовать два способа.
1. Можно указать объем, к которому нужно привести журнал. Это запустит удаление старых записей до тех пор, пока журнал не будет уменьшен до указанного объема. Например:
2. Можно указать период, данные за которые должны быть сохранены. В этом случае все записи, которые будут старше указанного периода, удалятся. Например:
В этом случае будут удаляться все записи, кроме тех, что были созданы за последний год.