Category: Linux

過去只有rsyslogd 的年代中，由於rsyslogd 必須要開機完成並且執行了rsyslogd 這個daemon 之後，登錄文件才會開始記錄。所以，核心還得要自己產生一個klogd 的服務， 才能將系統在開機過程、啟動服務的過程中的信息記錄下來，然後等rsyslogd 啟動後才傳送給它來處理～

現在有了systemd 之後，由於這玩意兒是核心喚醒的，然後又是第一支執行的軟件，它可以主動調用systemd-journald 來協助記載登錄文件～ 因此在開機過程中的所有信息，包括啟動服務與服務若啟動失敗的情況等等，都可以直接被記錄到systemd-journald 裡頭去！

不過systemd-journald 由於是使用於內存的登錄文件記錄方式，因此重新開機過後，開機前的登錄文件信息當然就不會被記載了。為此，我們還是建議啟動rsyslogd 來協助分類記錄！也就是說， systemd-journald 用來管理與查詢這次開機後的登錄信息，而rsyslogd 可以用來記錄以前及現在的所以數據到磁盤文件中，方便未來進行查詢喔！

Tips雖然systemd-journald所記錄的數據其實是在內存中，但是系統還是利用文件的型態將它記錄到/run/log/下面！不過我們從前面幾章也知道， /run在CentOS 7其實是內存內的數據，所以重新開機過後，這個/run/log下面的數據當然就被刷新，舊的當然就不再存在了！

18.4.1 使用journalctl 觀察登錄信息

那麼systemd-journald.service 的數據要如何叫出來查閱呢？很簡單！就通過journalctl 即可！讓我們來瞧瞧這個指令可以做些什麼事？

[root@study ~]# journalctl [-nrpf] [--since TIME] [--until TIME] _optional
选项与参数：
默认会秀出全部的 log 内容，从旧的输出到最新的讯息
-n  ：秀出最近的几行的意思～找最新的信息相当有用
-r  ：反向输出，从最新的输出到最旧的数据
-p  ：秀出后面所接的讯息重要性排序！请参考前一小节的 rsyslogd 信息
-f  ：类似 tail -f 的功能，持续显示 journal 日志的内容（实时监测时相当有帮助！）
--since --until：设置开始与结束的时间，让在该期间的数据输出而已
_SYSTEMD_UNIT=unit.service ：只输出 unit.service 的信息而已
_COMM=bash ：只输出与 bash 有关的信息
_PID=pid   ：只输出 PID 号码的信息
_UID=uid   ：只输出 UID 为 uid 的信息
SYSLOG_FACILITY=[0-23] ：使用 syslog.h 规范的服务相对序号来调用出正确的数据！

范例一：秀出目前系统中所有的 journal 日志数据
[root@study ~]# journalctl
-- Logs begin at Mon 2015-08-17 18:37:52 CST, end at Wed 2015-08-19 00:01:01 CST. --
Aug 17 18:37:52 study.centos.vbird systemd-journal[105]: Runtime journal is using 8.0M （max 
 142.4M, leaving 213.6M of free 1.3G, current limit 142.4M）.
Aug 17 18:37:52 study.centos.vbird systemd-journal[105]: Runtime journal is using 8.0M （max
 142.4M, leaving 213.6M of free 1.3G, current limit 142.4M）.
Aug 17 18:37:52 study.centos.vbird kernel: Initializing cgroup subsys cpuset
Aug 17 18:37:52 study.centos.vbird kernel: Initializing cgroup subsys cpu
.....（中间省略）.....
Aug 19 00:01:01 study.centos.vbird run-parts（/etc/cron.hourly）[19268]: finished 0anacron
Aug 19 00:01:01 study.centos.vbird run-parts（/etc/cron.hourly）[19270]: starting 0yum-hourly.cron
Aug 19 00:01:01 study.centos.vbird run-parts（/etc/cron.hourly）[19274]: finished 0yum-hourly.cron
# 从这次开机以来的所有数据都会显示出来！通过 less 一页页翻动给管理员查阅！数据量相当大！

范例二：（1）仅显示出 2015/08/18 整天以及（2）仅今天及（3）仅昨天的日志数据内容
[root@study ~]# journalctl --since "2015-08-18 00:00:00" --until "2015-08-19 00:00:00"
[root@study ~]# journalctl --since today
[root@study ~]# journalctl --since yesterday --until today

范例三：只找出 crond.service 的数据，同时只列出最新的 10 笔即可
[root@study ~]# journalctl _SYSTEMD_UNIT=crond.service -n 10

范例四：找出 su, login 执行的登录文件，同时只列出最新的 10 笔即可
[root@study ~]# journalctl _COMM=su _COMM=login -n 10

范例五：找出讯息严重等级为错误 （error） 的讯息！
[root@study ~]# journalctl -p err

范例六：找出跟登录服务 （auth, authpriv） 有关的登录文件讯息
[root@study ~]# journalctl SYSLOG_FACILITY=4 SYSLOG_FACILITY=10
# 更多关于 syslog_facility 的数据，请参考 18.2.1 小节的内容啰！

基本上，有journalctl 就真的可以搞定你的訊息數據囉！全部的數據都在這裡面耶～再來假設一下，你想要了解到登錄文件的實時變化， 那又該如何處置呢？現在，請開兩個終端機，讓我們來處理處理！

# 第一号终端机，请使用下面的方式持续侦测系统！
[root@study ~]# journalctl -f
# 这时系统会好像卡住～其实不是卡住啦！是类似 tail -f 在持续的显示登录文件信息的！

# 第二号终端机，使用下面的方式随便发一封 email 给系统上的帐号！
[root@study ~]# echo "testing" | mail -s 'tset' dmtsai
# 这时，你会发现到第一号终端机竟然一直输出一些讯息吧！没错！这就对了！

如果你有一些必須要偵測的行為，可以使用這種方式來實時了解到系統出現的訊息～而取消journalctl -f 的方法，就是[crtl]+c 啊！

18.4.2 logger 指令的應用

上面談到的是叫出登錄文件給我們查閱，那換個角度想，“如果你想要讓你的數據儲存到登錄文件當中”呢？那該如何是好？這時就得要使用logger 這個好用的傢伙了！這個傢伙可以傳輸很多信息，不過，我們只使用最簡單的本機信息傳遞～ 更多的用法就請您自行man logger 囉！

[root@study ~]# logger [-p 服务名称.等级] "讯息"
选项与参数：
服务名称.等级 ：这个项目请参考 rsyslogd 的本章后续小节的介绍；

范例一：指定一下，让 dmtsai 使用 logger 来传送数据到登录文件内
[root@study ~]# logger -p user.info "I will check logger command"
[root@study ~]# journalctl SYSLOG_FACILITY=1 -n 3
-- Logs begin at Mon 2015-08-17 18:37:52 CST, end at Wed 2015-08-19 18:03:17 CST. --
Aug 19 18:01:01 study.centos.vbird run-parts（/etc/cron.hourly）[29710]: starting 0yum-hourly.cron
Aug 19 18:01:01 study.centos.vbird run-parts（/etc/cron.hourly）[29714]: finished 0yum-hourly.cron
Aug 19 18:03:17 study.centos.vbird dmtsai[29753]: I will check logger command

現在，讓我們來瞧一瞧，如果我們之前寫的backup.service 服務中，如果使用手動的方式來備份，亦即是使用”/backups/backup.sh log” 來執行備份時， 那麼就通過logger來記錄備份的開始與結束的時間！該如何是好呢？這樣作看看！

[root@study ~]# vim /backups/backup.sh
#!/bin/bash

if [ "${1}" == "log" ]; then
        logger -p syslog.info "backup.sh is starting"
fi
source="/etc /home /root /var/lib /var/spool/{cron,at,mail}"
target="/backups/backup-system-$（date +%Y-%m-%d）.tar.gz"
[ ! -d /backups ] && mkdir /backups
tar -zcvf ${target} ${source} &> /backups/backup.log
if [ "${1}" == "log" ]; then
        logger -p syslog.info "backup.sh is finished"
fi

[root@study ~]# /backups/backup.sh log
[root@study ~]# journalctl SYSLOG_FACILITY=5 -n 3
Aug 19 18:09:37 study.centos.vbird dmtsai[29850]: backup.sh is starting
Aug 19 18:09:54 study.centos.vbird dmtsai[29855]: backup.sh is finished

通過這個玩意兒，我們也能夠將數據自行處置到登錄文件當中囉！

18.4.3 保存journal 的方式

再強調一次，這個systemd-journald.servicd 的訊息是不會放到下一次開機後的，所以，重新開機後，那之前的記錄通通會遺失。雖然我們大概都有啟動rsyslogd 這個服務來進行後續的登錄文件放置，不過如果你比較喜歡journalctl 的存取方式，那麼可以將這些數據儲存下來喔！

基本上，systemd-journald.service 的配置文件主要參考/etc/systemd/journald.conf 的內容，詳細的參數你可以參考man 5 journald.conf 的數據。因為默認的情況下面，配置文件的內容應該已經符合我們的需求，所以這邊鳥哥就不再修改配置文件了。只是如果想要保存你的journalctl 所讀取的登錄文件， 那麼就得要創建一個/var/log/journal 的目錄，並且處理一下該目錄的權限，那麼未來重新啟動systemd-journald.service 之後， 日誌登錄文件就會主動的複制一份到/var/log/journal 目錄下囉！

# 1\. 先处理所需要的目录与相关权限设置
[root@study ~]# mkdir /var/log/journal
[root@study ~]# chown root:systemd-journal /var/log/journal
[root@study ~]# chmod 2775 /var/log/journal

# 2\. 重新启动 systemd-journald 并且观察备份的日志数据！
[root@study ~]# systemctl restart systemd-journald.service
[root@study ~]# ll /var/log/journal/
drwxr-sr-x. 2 root systemd-journal 27 Aug 20 02:37 309eb890d09f440681f596543d95ec7a

你得要注意的是，因為現在整個日誌登錄文件的容量會持續長大，因此你最好還是觀察一下你係統能用的總容量喔！避免不小心文件系統的容量被灌爆！此外，未來在/run/log 下面就沒有相關的日誌可以觀察了！因為移動到/var/log/journal 下面來囉！

其實鳥哥是這樣想的，既然我們還有rsyslog.service 以及logrotate 的存在，因此這個systemd-journald.service 產生的登錄文件， 個人建議最好還是放置到/run/log 的內存當中，以加快存取的速度！而既然rsyslog.service 可以存放我們的登錄文件， 似乎也沒有必要再保存一份journal 登錄文件到系統當中就是了。單純的建議！如何處理，依照您的需求即可喔！