Евидентирање Линук система се променило увођењем системд-а. Научите како да користите команду јоурналцтл за читање и филтрирање порука системског дневника.
Преглед садржаја
Централизовано евидентирање
Није страна контроверза, системски систем и менаџер услуга су увели значајну промену у начину прикупљања системских евиденција. Дневници су се некада налазили на различитим местима у систему датотека у зависности од услуге или демона који их је креирао. Али сви су имали једну заједничку ствар. Биле су то обичне текстуалне датотеке.
Уз системд, све системске, боот и кернел датотеке евиденције се прикупљају и њима управља помоћу централног, наменског решења за евидентирање. Формат у коме се чувају је бинарни. Једна ствар коју ово олакшава је могућност издвајања података у различитим форматима, као што су ЈСОН, као што ћемо видети.
такође може олакшати унакрсну референцу повезаних информација које би претходно биле забележене у засебним датотекама евиденције. Пошто се подаци сада чувају у једном часопису, подаци из неколико извора од интереса могу бити одабрани и приказани у једној испреплетеној листи уноса.
јоурналцтл је алат некада радио са часописом.
јоурналцтл Витх Но Фриллс
Можете позвати јоурналцтл без параметара командне линије:
journalctl
јоурналцтл приказује цео часопис, са најстаријим уносима на врху листе. Листа се приказује у мањем формату, што вам омогућава да странице и претражујете користећи уобичајене функције навигације мање. Такође можете да користите тастере са стрелицом налево и стрелицом надесно за померање у страну да бисте прочитали широке уносе дневника.
Притиском на тастер Енд скочиће право на дно листе и најновије уносе у дневник.
Притисните Цтрл+Ц да изађете.
Иако се јоурналцтл може позвати без употребе судо, осигураћете да видите све детаље унутар дневника ако користите судо.
sudo journalctl
Ако је потребно, можете натерати јоурналцтл да пошаље свој излаз у прозор терминала уместо на мање, користећи опцију –но-пагер.
sudo journalctl --no-pager
Излаз се брзо помера кроз прозор терминала, а ви се враћате на командну линију.
Да бисте ограничили број линија које јоурналцтл враћа, користите опцију -н (линије). Затражимо десет линија излаза:
sudo journalctl -n 10
Након ажурирања часописа
Да бисте учинили да јоурналцтл приказује најновије уносе како стигну у дневник, користите опцију -ф (прати).
sudo journalctl -f
Најновији унос има временску ознаку 07:09:07. Како се нова активност одвија, нови уноси се додају на дно екрана. Ажурирања скоро у реалном времену—кул!
У 07:09:59 апликација под називом геек-апп убацила је унос у дневник у којем је писало: „Нова порука од ХТГ-а.“
Промена формата приказа
Пошто је дневник бинарна датотека, подаци у њему морају бити преведени или рашчлањени у текст пре него што вам буду приказани. Са различитим парсерима, различити излазни формати се могу креирати од истих бинарних изворних података. Постоји неколико различитих формата које јоурналцтл може да користи.
Подразумевани излаз је кратки формат, који је веома сличан класичном формату системског дневника. Да бисте експлицитно захтевали кратки формат, користите опцију -о (излаз) са модификатором схорт.
sudo journalctl -n 10 -o short-full
С лева на десно, поља су:
Време када је порука креирана, по локалном времену.
Име домаћина.
Назив процеса. Ово је процес који је створио поруку.
Порука дневника.
Да бисте добили потпуни датум и временску ознаку користите модификатор кратко-пун:
sudo journalctl -n 10 -o short-full
Формати датума и времена у овом излазу су формат у коме треба да наведете датуме и време када бирате поруке дневника по периоду, као што ћемо ускоро видети.
Да бисте видели све метаподатке који прате сваку поруку дневника, користите модификатор вербосе.
sudo journalctl -n 10 -o verbose
тамо има много могућих поља, али ретко је да сва поља буду присутна у поруци.
Једно поље о коме вреди разговарати је поље приоритета. У овом примеру има вредност 6. Вредност представља важност поруке:
0: Хитно. Систем је неупотребљив.
1: Упозорење. Означено је стање које треба одмах исправити.
2: Критичан. Ово покрива падове, цоредумпове и значајне кварове у примарним апликацијама.
3: Грешка. Грешка је пријављена, али се не сматра озбиљном.
4: Упозорење. Скреће вам пажњу на услов који, ако се занемари, може постати грешка.
5: Напомена. Користи се за пријављивање догађаја који су неуобичајени, али не и грешака.
6: Информације. Редовне оперативне поруке. Ово не захтева акцију.
7: Отклањање грешака. Поруке се стављају у апликације како би им било лакше да отклоне грешке.
Ако желите да се резултат прикаже као правилно формиран ЈаваСцрипт нотација објеката (ЈСОН) објеката, користите јсон модификатор:
sudo journalctl -n 10 -o json
Свака порука је правилно умотана као добро формиран ЈСОН објекат и приказује се једна порука по реду излаза.
Да бисте имали ЈСОН излаз прилично одштампан, користите модификатор јсон-претти.
sudo journalctl -n 10 -o json-pretty
Сваки ЈСОН објекат је подељен на више редова, са сваким паром име-вредност у новом реду.
Да бисте видели само поруке уноса дневника, без временских ознака или других метаподатака, користите модификатор цат:
sudo journalctl -n 10 -o cat
Овај формат приказа може отежати идентификацију који је процес покренуо догађај дневника, иако неке поруке садрже траг.
Избор порука дневника према временском периоду
Да бисте ограничили излаз из јоурналцтл на временски период који вас занима, користите опције -С (од) и -У (до).
Да бисте видели уносе дневника од одређеног времена и датума, користите ову команду:
sudo journalctl -S "2020-91-12 07:00:00"
На екрану се налазе само поруке које су стигле после датума и времена у команди.
Да бисте дефинисали временски период о коме желите да извештавате, користите обе опције -С (од) и -У (до) заједно. Ова команда прегледа поруке дневника из временског периода од 15 минута.:
sudo journalctl -S "2020-91-12 07:00:00" -U "2020-91-12 07:15:00"
Ово је одлична комбинација ако знате да се нешто чудно догодило на вашем систему и отприлике када се догодило.
Коришћење релативних временских периода
Можете користити релативно адресирање када бирате своје временске периоде. То значи да можете рећи ствари попут „покажи ми све догађаје од пре једног дана до сада“. Ово је управо оно што ова команда значи. „д“ значи „дан“, а „-1“ значи један дан у прошлости.
sudo journalctl -S -1d
Поруке евиденције су наведене од 00:00:00 јуче, па све до „сада“.
Ако желите да истражите нешто што се догодило у недавној прошлости, можете одредити релативни временски период мерен сатима. Овде прегледамо поруке дневника од прошлог сата:
sudo journalctl -S -1h
За вас се приказују поруке од последњег сата. Такође можете користити „м“ да подесите релативне временске периоде мерене у минутима, а „в“ недељама.
јоурналцтл разуме данас, јуче и сутра. Ови модификатори пружају згодан начин за одређивање уобичајених временских периода. Да бисте видели све догађаје који су се десили јуче, користите ову команду:
sudo journalctl -S yesterday
Сви догађаји дневника који су се десили јуче, до поноћи 00:00:00, се преузимају и приказују за вас.
Да бисте видели све досад примљене дневник поруке, користите ову команду:
sudo journalctl -S today
Приказује се све од 00:00:00 до тренутка издавања наредбе.
Можете да мешате различите модификаторе временског периода. Да видите све од пре два дана па до почетка данашњег дана, користите ову команду:
sudo journalctl -S -2d -U today
Све од прекјуче до данас се преузима и приказује.
Избор порука дневника према пољима података
Можете претраживати поруке дневника који одговарају широком спектру поља часописа. Ове претраге покушавају да пронађу подударања у метаподацима приложеним уз сваку поруку. Препоручује се да ви погледајте листу поља и изаберите оне који ће вам бити најкориснији.
Имајте на уму, да ли апликација испуњава свако поље или не, у потпуности зависи од аутора апликације. Не можете гарантовати да ће свако поље бити попуњено.
Сви модификатори поља дневника се користе на исти начин. Користићемо неколико у нашим примерима у наставку. Да бисте потражили дневник поруке из одређене апликације, користите модификатор _ЦОММ (команда). Ако такође користите опцију -ф (фоллов), јоурналцтл ће пратити нове поруке из ове апликације како стигну.
sudo journalctl -f _COMM=geek-app
Можете претраживати уносе у дневнику користећи ИД процеса процеса који је генерисао поруку дневника. Користите команду пс да пронађете ИД процеса демона или апликације коју ћете тражити.
sudo journalctl _PID=751
На машини коришћеној за истраживање овог чланка, ССХ демон је процес 751.
Такође можете претраживати по ИД корисник. Ово је кориснички ИД за особу која је покренула апликацију или команду, или која је власник процеса.
sudo journalctl _UID=1000
Све поруке повезане са било којим другим корисничким ИД-ом се филтрирају. Приказују се само поруке које се односе на корисника 1000:
Други начин за тражење порука дневника који се односе на одређену апликацију је да обезбедите путању до извршне датотеке.
sudo journalctl /usr/bin/anacron
Сав анакрон Поруке дневника планера се преузимају и приказују.
Да бисмо олакшали претрагу, можемо затражити од јоурналцтл да наведе све вредности које садржи за било које од поља часописа.
Да бисте видели ИД корисника за које је јоурналцтл забележио поруке дневника, користите опцију -Ф (поља) и проследите идентификатор поља _УИД.
journalctl -F _UID
Урадимо то поново и погледајмо ИД групе (ГИД-ови):
journalctl -F _GID
То можете учинити са било којим од идентификатори поља часописа.
Листинг Кернел Мессагес
Постоји уграђен начин за брзо изоловање порука кернела. Не морате сами да их тражите и изолујете. Опција -к (кернел) уклања све остале поруке и даје вам тренутни преглед уноса дневника кернела.
sudo journalctl -k
Истицање одражава важност поруке, према вредностима у пољу Приоритет.
Прегледање порука о покретању
Ако имате проблем у вези са покретањем који желите да истражите, јоурналцтл вас покрива. Можда сте додали нови хардвер, а он не реагује, или хардверска компонента која је претходно радила више не ради након последње надоградње система.
Да бисте видели уносе у дневнику који се односе на ваше последње покретање, користите опцију -б (покретање):
journalctl -b
Приказани су вам уноси у дневник за последње покретање.
Када кажемо „последње покретање“, мислимо на процес покретања који је оживео ваш рачунар за вашу тренутну сесију на којој сте пријављени. Да бисте видели претходна покретања, помоћу броја можете да кажете јоурналцтл-у које покретање вас занима. Да бисте видели треће претходно покретање, користите ову команду:
journalctl -b 3
Генерално, ако сте имали проблем и морали сте да поново покренете своју машину, то је претходни редослед покретања који вас занима. Дакле, ово је уобичајени облик команде.
Лако се помешати са редоследом чизама. Да бисмо помогли, можемо замолити јоурналцтл да наведе чизме које је снимио у свом дневнику, користећи опцију –лист-боотс.
journalctl --list-boots
Можете да идентификујете покретање за које желите да видите поруке на основу датума и временске ознаке, а затим користите број у левој колони да бисте добили поруке дневника за ту секвенцу покретања. Такође можете одабрати 32-битни идентификатор покретања и проследити га јоурналцтл.
sudo journalctl -b 1f00248226ed4ab9a1abac86e0d540d7
Поруке дневника из секвенце покретања коју смо захтевали се преузимају и приказују.
Управљање простором на чврстом диску у дневнику
Наравно, дневник и све његове дневник поруке се чувају на вашем чврстом диску. То значи да ће заузимати простор на чврстом диску. Да бисте видели колико простора је заузео дневник, користите опцију –диск-усаге.
journalctl --disk-usage
Са данашњим чврстим дисковима, 152 МБ уопште није много простора, али у сврху демонстрације, ипак ћемо га смањити. Постоје два начина да ово урадимо. Први је да поставите ограничење величине на које желите да се часопис смањи. Поново ће расти, наравно, али сада можемо да га обрезујемо спремно за тај нови раст.
Користићемо предивно названу опцију – величина вакуума и проследити величину на коју бисмо желели да се часопис смањи. Тражићемо 100 МБ. Начин на који размишљамо о овоме је да тражимо од јоурналцтл-а да „баци све што можеш, али не иди ниже од 100 МБ“.
journalctl --vacuum-size=100M
Други начин да смањите величину дневника је да користите опцију –вацуум-тиме. Ова опција каже јоурналцтл да одбаци поруке које су старије од периода који сте дали на командној линији. Можете користити дане, недеље, месеце и године у временском периоду.
Хајде да избацимо све поруке старије од недељу дана:
journalctl --vacuum-time=1weeks
Подаци против информација
Подаци нису корисни осим ако не можете доћи до њих и искористити их. Тада то постаје корисна информација. Команда јоурналцтл је флексибилан и софистициран алат који вам омогућава да дођете до информација које вас занимају на различите начине.
Можете користити скоро сваки исечак информација које имате да унесете у поруке дневника које су вам потребне.