CentOS Stream 9
Sponsored Link

Journald : 基本操作2022/06/30
 
ログ管理サービス Journald の基本操作です。
[1] システム デフォルトで Journald が稼働し、システムのほぼ全てのログは、まず最初に Journald によって保管されます。
よって、[Journald (systemd-journald.service, systemd-journald.socket, systemd-journald-dev-log.socket)] が停止した場合は、システムのほぼ全てのログの記録も停止します。
[root@dlp ~]#
systemctl status systemd-journald.service 

*  systemd-journald.service - Journal Service
     Loaded: loaded (/usr/lib/systemd/system/systemd-journald.service; static)
     Active: active (running) since Thu 2022-06-30 10:32:03 JST; 17min ago
TriggeredBy: *  systemd-journald-dev-log.socket
             *  systemd-journald.socket
       Docs: man:systemd-journald.service(8)
             man:journald.conf(5)
   Main PID: 627 (systemd-journal)
     Status: "Processing requests..."
      Tasks: 1 (limit: 23560)
     Memory: 1.7M
        CPU: 88ms
     CGroup: /system.slice/systemd-journald.service
[2] Journald の設定は [/etc/systemd/journald.conf] で変更可能です。
デフォルトでは全てコメントとなっていますが、記載の値がデフォルト値となっています。
[root@dlp ~]#
cat /etc/systemd/journald.conf 

[Journal]
#Storage=auto
#Compress=yes
#Seal=yes
#SplitMode=uid
#SyncIntervalSec=5m
#RateLimitIntervalSec=30s
#RateLimitBurst=10000
#SystemMaxUse=
#SystemKeepFree=
#SystemMaxFileSize=
#SystemMaxFiles=100
#RuntimeMaxUse=
#RuntimeKeepFree=
#RuntimeMaxFileSize=
#RuntimeMaxFiles=100
#MaxRetentionSec=
#MaxFileSec=1month
#ForwardToSyslog=no
#ForwardToKMsg=no
#ForwardToConsole=no
#ForwardToWall=yes
#TTYPath=/dev/console
#MaxLevelStore=debug
#MaxLevelSyslog=debug
#MaxLevelKMsg=notice
#MaxLevelConsole=info
#MaxLevelWall=emerg
#LineMax=48K
#ReadKMsg=yes
Audit=
[3] Journald のログの保管場所は [Storage=***] で設定されています。 
# [Storage=***] の設定値
#
# volatile   : メモリーに保管 : [/run/log/journal] 配下
# persistent : ディスクに保管 : [/var/log/journal] 配下
#              システム起動時等、ディスク書き込み不可な場合はメモリー
# auto       : [/var/log/journal] が存在する場合はディスク
#              存在しない場合はメモリー
# none       : ログを保管しない
#              ただし、コンソールや Syslog サービス等、他の設定済み保管ターゲットにはログは転送される
#
# * メモリー保管は永続的ではない (システム再起動時に過去ログは消去)

# CentOS Stream 9 のデフォルトは [auto] 且つ 
# デフォルトでは [/var/log/journal] は存在しないため [/run/log/journal] に保管
[root@dlp ~]#
grep Storage /etc/systemd/journald.conf

#Storage=auto
[root@dlp ~]#
ll -d /var/log/journal

ls: cannot access '/var/log/journal': No such file or directory
[root@dlp ~]#
ll /run/log/journal 

total 0
drwxr-s---+ 2 root systemd-journal 60 Jun 30 10:32 ab414d4792d04b9dbc1e2361f936e849


# CentOS Stream 9 の [/run/log] は [tmpfs] ファイルシステム
# [tmpfs] はメモリー上のファイルシステム
# [tmpfs] の領域サイズは手動設定しない限りは、実メモリー容量の半分が自動で割り当てられる
# メモリー上で常に指定容量を確保するのではなく、必要容量を動的に使用する
[root@dlp ~]#
df -h /run/log 

Filesystem      Size  Used Avail Use% Mounted on
tmpfs           744M  8.6M  736M   2% /run
# ディスク保管に変更したい場合は [/var/log/journal] を作成

[root@dlp ~]#
mkdir /var/log/journal

[root@dlp ~]#
systemctl restart systemd-journald.service \
systemd-journald.socket \
systemd-journal-flush.service
[root@dlp ~]#
ll /run/log/journal

total 0
[root@dlp ~]#
ll /var/log/journal 

total 0
drwxr-xr-x. 2 root root 28 Jun 30 10:59 ab414d4792d04b9dbc1e2361f936e849


# * Note
# CentOS Stream 9 の デフォルトでは シスログサービス Rsyslog も稼働
# Journald から受け取ったログを Rsyslog が [/var/log] 配下へ保管
# よって Journald の保管設定をディスクに変更しなくとも、ディスク上にもログは保管されている
# Rsyslog は Journald の設定 [ForwardToSyslog=***] の値に依存することなく
# Rsyslog の [imjournal] モジュールによって Journald のログをインポート
[4] Journald のログは [journalctl] コマンドで表示可能です。
# 引数なしで全ログを表示 : 結果は [less] コマンドに渡される
# [less] に渡さない場合は [--no-pager] オプション付加
# ページャーに渡す 且つ 1 行を全て表示したい場合は [more] に渡す

[root@dlp ~]#
journalctl 

Jun 30 10:32:01 localhost kernel: Linux version 5.14.0-115.el9.x86_64 (mockbuil>
Jun 30 10:32:01 localhost kernel: The list of certified hardware and cloud inst>
Jun 30 10:32:01 localhost kernel: Command line: BOOT_IMAGE=(hd0,msdos1)/vmlinuz>
Jun 30 10:32:01 localhost kernel: x86/fpu: Supporting XSAVE feature 0x001: 'x87>
.....
.....
# [-u UNIT] : 特定の UNIT のログを表示

[root@dlp ~]#
journalctl -u sshd.service 

Jun 30 10:32:04 dlp.srv.world systemd[1]: Starting OpenSSH server daemon...
Jun 30 10:32:04 dlp.srv.world sshd[742]: Server listening on 0.0.0.0 port 22.
Jun 30 10:32:04 dlp.srv.world sshd[742]: Server listening on :: port 22.
Jun 30 10:32:04 dlp.srv.world systemd[1]: Started OpenSSH server daemon.
.....
.....
[root@dlp ~]#
journalctl -u systemd-tmpfiles-clean.timer 

Jun 30 10:32:03 dlp.srv.world systemd[1]: Started Daily Cleanup of Temporary Di>
.....
.....
# [-k] : 起動時のカーネルメッセージを表示

[root@dlp ~]#
journalctl -k 

Jun 30 10:32:01 localhost kernel: Linux version 5.14.0-115.el9.x86_64 (mockbuil>
Jun 30 10:32:01 localhost kernel: The list of certified hardware and cloud inst>
Jun 30 10:32:01 localhost kernel: Command line: BOOT_IMAGE=(hd0,msdos1)/vmlinuz>
.....
.....
# [-p Priority] : 特定のプライオリティのログを表示

[root@dlp ~]#
journalctl -p err 

Jun 30 10:32:01 localhost systemd-vconsole-setup[249]: /usr/bin/setfont failed >
Jun 30 10:44:51 dlp.srv.world systemd[1]: Failed to start Live Syncing (Mirror)>
Jun 30 10:45:29 dlp.srv.world systemd[1]: Failed to start Live Syncing (Mirror)>
.....
.....
# [-g PATTERN] : [MESSAGE] フィールドから特定のワード [PATTERN] を含むログを表示

[root@dlp ~]#
journalctl -g "sealert" 

Jun 30 11:13:30 dlp.srv.world setroubleshoot[2122]: SELinux is preventing /usr/>
.....
.....
# [-S DATE] : 特定の DATE 以降のログを表示
# [-U DATE] : 特定の DATE までのログを表示

[root@dlp ~]#
journalctl -S "2022-06-30 00:00:00" -U "2022-07-01 23:59:59" 

Jun 30 10:32:01 localhost kernel: Linux version 5.14.0-115.el9.x86_64 (mockbuil>
Jun 30 10:32:01 localhost kernel: The list of certified hardware and cloud inst>
Jun 30 10:32:01 localhost kernel: Command line: BOOT_IMAGE=(hd0,msdos1)/vmlinuz>
.....
.....
# その他オプションを表示

[root@dlp ~]#
journalctl --help --no-pager 

journalctl [OPTIONS...] [MATCHES...]

Query the journal.

Options:
     --system                Show the system journal
     --user                  Show the user journal for the current user
.....
.....
関連コンテンツ