Использование Journalctl для управления журналами

Как применять journalctl для просмотра и управления системными журналами

/ Системное администрирование Логирование

Рассмотрим тему использования утилиты journalctl для управления системными журналами на примере операционных систем, основанных на системе инициализации systemd.

Что такое journalctl?

journalctl — это утилита командной строки, входящая в состав systemd. Она используется для просмотра и управления системными журналами, собранными systemd-journald. Это эффективный инструмент для анализа, диагностики и устранения неполадок на Unix-подобных системах.

Основные функции journalctl

Просмотр журналов
Фильтрация журналов
Поиск и сортировка сообщений
Экспорт журналов

Установка и настройка

journalctl по умолчанию поставляется с systemd, поэтому дополнительная установка обычно не требуется. Если по какой-то причине у вас его нет, установите package systemd с помощью пакетного менеджера вашей операционной системы.

Основные команды journalctl

1. Просмотр всех журналов

Начнем с базовой команды:


                        journalctl

Эта команда выводит все системные журналы в хронологическом порядке, начиная с самого старого сообщения.

2. Просмотр текущей загрузки

Для просмотра сообщений, связанных с текущей загрузкой системы, выполните:


                        journalctl -b

Это особенно полезно для диагностики проблем, возникающих при загрузке системы.

3. Фильтрация по времени

Вы можете фильтровать журналы по времени. Например, чтобы увидеть журналы за последние 24 часа:


                        journalctl --since "24 hours ago"

Также можно указать конкретное время:


                        journalctl --since "2023-04-01 00:00:00" --until "2023-04-01 23:59:59"

4. Фильтрация по сервисам

Для просмотра сообщений только для определённого сервиса используйте параметр `-u` (unit):


                        journalctl -u sshd.service

5. Поиск по ключевым словам

Для поиска сообщений по ключевому слову используйте параметр `-k`:


                        journalctl -k "ошибка"

6. Просмотр логов в реальном времени

Для отображения новых сообщений в реальном времени используйте параметр `-f` (follow):


                        journalctl -f

Экспорт журналов

Для экспорта журналов в текстовый файл используйте перенаправление вывода:


                        journalctl > systemd-logs.txt

Или можно использовать команду


                        journalctl -o json > systemd-logs.json

для экспорта в формате JSON.

Удаление старых журналов

Чтобы освободить место на диске, можно удалять старые журналы:


                        journalctl --vacuum-time=2weeks

что удалит все журналы старше двух недель.

Заключение

journalctl — мощный инструмент для управления системными журналами, предлагающий широкие возможности по фильтрации, поиску и экспорту данных. Основное преимущество этого инструмента — его тесная интеграция с systemd, что делает его незаменимым помощником в диагностике и мониторинге состояния системы. Используя вышеописанные команды и возможности, вы сможете эффективно управлять системными журналами и упростить процесс решения проблем.