linux采集日志 ---- journalctl与rsyslog

最新推荐文章于 2025-06-24 08:10:41 发布
最新推荐文章于 2025-06-24 08:10:41 发布
阅读量2.2k 收藏 13
点赞数 4
CC 4.0 BY-SA版权
分类专栏: rhcsa 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly_qiu/article/details/105863141
本文对比介绍了Linux系统下journal和rsyslog两种日志管理工具。journalctl主要用于日志采集和分析,而rsyslog则能分门别类收集不同类型的日志。实验涉及了journalctl的常用命令、永久保存日志设置以及rsyslog的自定义日志路径、格式和远程同步。通过实例展示了如何配置rsyslog实现日志的远程同步,以提高服务器状态管理效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

对比journal与rsyslog

  • journal 是将所有的日志都存放起来,用日志查看工具,来对我们的日志进行分析。
  • rsyslog 在采集的过程中,就将我们的日志分门别类的放到指定的不同类型中。

实验环境

要求:需要2台可以通信的主机,如果自己没法ping通,请参考虚拟机的网络配置先进行设置。
以我的电脑为例:

  • xixi: 172.25.254.33
  • workstation: 172.25.254.22

journald

  • 服务名称:systemd-journald.service
    给我们的日志采集提供了一个程序-- journalctl,只是用来采集日志的,而不是用来产生日志的
    在这里插入图片描述

  • 默认日志存放路径: /run/log
    在这个joutnal中,有我们的系统ID,可由bootctl进行查看,与Machine ID 一致
    注意:每次重启之后,都会清空日志
    在这里插入图片描述

一. journalctl命令的用法

日志分析命令: journalctl

命令 作用
-n 3 日志的最新3条
–since “2020-04-28 17:20” 显示17:20后的日志
–until “2020-04-28 17:25” 显示日志到17:25
-o 设定日志的显示方式
-p 显示指定级别的日志
-F PRIORITY 查看可控日志级别
-u 指定查看服务
–disk-usage 查看日志大小
–vacuum-size=1G 设定日志存放大小
–vacumm-time=1W 日志在系统中最长存放时间
-f 监控日志

-o与-p的用法会在下面详细介绍

练习:

  • -n 3 日志的最新3条
    在这里插入图片描述

  • since+until
    在这里插入图片描述

  • -F PRIORITY查看可控日志级别
    在这里插入图片描述

  • 查看指定服务
    在这里插入图片描述

  • 查看详细信息
    systemctl status ssh 后重启sshd,此时PID会从5574变成6522
    在这里插入图片描述
    想要查看5574的详细日志,使用journalctl _PID=5574 _SYSTEMD_UNIT=sshd.service将条件添加在journalctl后
    在这里插入图片描述

  • 临时设置日志存放大小,与永久设置

 --vacuum
最低0.47元/天 解锁文章

200万优质内容无限畅学
linux系统中的日志管理 (journalctl+rsyslog+timedatectl+时间同步服务)
ly_qiu的博客
04-30 671
############################### 实验环境 ############################### rhel7_node1: 172.25.254.11 rhel8_node1: 172.25.254.10 ############################### 1.journald ############################### 服务...
rsyslog,journalctl
johnmand的博客
02-13 3172
1./var/log/messages :最主要的文件,基本都在这个里面 2./var/log/boot.log:启动过程的log 3/var/log/dmesg:开机是有关硬件的检测信息 4./var/log/secure:账号密码错误会放在这个文件下 5.或者一些服务自己的日志文件,/var/log/httpd 实现日志服务,只要需要以下几个东西: systemd-journald.service:最主要的讯息收受者,由 systemd 提供的; rsyslog.service:主要日志系统
linuxjournalctlrsyslog
JackLiu16的博客
01-07 6136
一、前言 昨天写了一篇文章,内容为:Systemd 常规操作彩蛋,参考了 ArchLinux 官方文档并结合培训中的思路进行了部分修改补充。如果你懂得了基础的管理,那必然还需要做维护和审计。这时候就需要 Redhat7 中的systemd 架构下的——systemd-journald。 下有俩例子对比 init.d 和 systemd : service daemon --->
Linux journalctl 指令详解:从基础到高级用法
最新发布
gongwanzhang的博客
06-24 1075
journalctl 是 systemd 套件的一部分,用于查询和操作由 systemd-journald 收集的系统日志。systemd-journald 是一个系统服务,负责收集和存储日志数据,包括内核日志、系统服务日志、用户服务日志等。传统的日志工具(如 syslog)相比,journalctl 提供了更灵活的查询方式和更高效的日志管理功能。
linux日志管理--rsyslog/journalctl/Logrotate
weixin_44515412的博客
05-23 403
1 selinux 关闭 2 systemctl stop firewalld ;systemctl disable 或 service iptables stop ;chkconfig iptables off 服务器配置 yum install httpd -y systemctl start httpd cd /var/www/html mkdir centos/{6,7}/os/x86_64/ -pv echo '- - -' > /sys/class/scsi_host/host2/scan
linux日志管理:journalctl/rsyslog的使用,怎么设置日志采集的规则?怎么同步日志(汇总多台主机的日志到一台)?怎么设置日志采集格式?
Tuki来了
04-23 778
日志管理journalctl命令查看日志 实验环境: 我们需要两台主机,要保证两台主机是可以互相通信的。 配网,点击查看以前文章,不再复述。 改主机名字,这一步可以省略。 使用命令systemctl stop firewalld关闭两台主机的防火墙。 做免密认证,这一步也可不做。 journalctl命令查看日志 默认日志存放路径: /run/log。 journalctl   ##直接查看日志 -f   ##监控日志,一直开着 -n 3   ##日志的最新3条 --since "2021-04-0
Linux系统中的日志管理 ---systemd-journald日志journalctl命令的用法)和 rsyslog 日志(自定义日志采集路径、更改日志采集格式和日志的远程同步)
Rengar_Yang的博客
07-01 9621
一、实验环境 1 | yxy.westos.com : 172.25.254.10 2 | lww.westos.com : 172.25.254.20 3 | yxy.westos.com & lww.westos.com : systemctl stop firewalld.service ##关闭火墙 二、systemd-journald 1.systemd-journald 服务名称:systemd-journald.service systemd-journald可移植性高
Linux日志rsyslog、logrotate、journalctl、logger)
weixin_45880055的博客
02-07 2692
linux主机在后台有相当多的daemons同时在工作,这些工作中的进程总是会显示一些信息,这些重要信息最终会被记录到日志文件中。日志文件可以记录系统在什么时间、哪个主机、哪个服务、出现了什么信息等内容,这些信息也包括用户识别数据。系统故障排除须知等信息,善于利用这些日志信息,当系统出现出现错误时,可以从日志信息定位问题找到解决方案。 日志文件的重要性:解决系统方面的错误、解决网络服务的问题、过往事件的记事本、追溯审计功能。 Linux常见的日志文件: /var/log/boot.log 开机启动的时候系
38.Linux-系统日志的总结
迷逝
09-03 1393
此服务是用来采集系统日志的,它本身不产生日志,只是起到采集的作用。
LINUX中的日志服务jourbalctl和日志采集rsyslog.service
qq_60200126的博客
07-22 685
# 服务名称:systemd-journald.service 实验环境 关闭防火墙systemctl stop firewalld 默认存放日志路径:/run/log 用journalctl 指令可以直接查看日志 (root身份) journalctl -n 查看最新几行 journalctl --since "14:20:10" --until "14:30:00" 显示时间段内的日志 journalctl -o short 经典模式显示日志 journalctl -F PRIORITY查...
日志审计分析--Linux日志收集(配置rsyslog服务收集其他Linux服务器日志
m0_51786204的博客
04-10 5801
实验目的:1、掌握rsyslog配置方法 2、配置rsyslog服务收集其他Linux服务器日志
系统日志- Journal and Rsyslog
小Eason哥
12-28 395
1.在/etc/rsyslog.d/文件下创建debug配置文件,让所有的debug信息发送到/var/log/messages-debug 文件下。Journalctl 文件放在/run/log/journalctl.配置文件在/etc/systemd/journald.conf。Rsyslog 的配置文件/etc/rsyslog.conf。Rsyslog的旧的信息会在最前面,新的信息会在最下面。
journal和rsyslog的恩怨情仇
xiayutian747的博客
05-21 1137
systemd和rsyslog
linux系统日志记录syslog
锅锅的博客
12-13 8905
一、介绍 syslog是linux系统的一套日志框架,syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统 二、函数接口 头文件 #include “syslog.h” 打开日志 void openlog (char*ident, int option, int facility); 关闭日志 void clos
Linux系统中的日志管理 ---systemd-journald日志journalctl命令的用法)和 rsyslog 日志(自定义日志采集路径、更改日志采集格式和日志的远程同步)
Horizon_carry的博客
05-08 1697
一、实验环境 Horizon_carry: 172.25.254.10 carry: 172.25.254.20 Horizon_carry & carry: systemctl stop firewalld.service ##关闭火墙 二、systemd-journald 1.systemd-journald 服务名称:systemd-jo...
Linux日志服务rsyslog介绍、配置网络日志日志管理工具journalctl介绍、rsyslog日志记录储存在mysql、使用loganalyzer展示日志、Logrotate介绍
zerocdn的博客
03-14 749
Linux日志服务rsyslog介绍 rsyslog特性: 多线程 UDP, TCP, SSL, TLS, RELP MySQL, PGSQL, Oracle实现日志存储 强大的过滤器,可实现过滤记录日志信息中任意部分 自定义输出格式 术语,参考man logger facility:设施,从功能或程序上对日志进行归类 auth, authpriv, cron, daemon,ftp,kern, ...
Linux日志管理:journald和rsyslog
Gong_yz的博客
01-06 2653
本节归纳日志管理和主机时间的修改,包括:如何永久查看日志、如何将日志文件保存在自己想要指定的目录中、如何远程同步日志、如何修改日志显示的格式、时间的查看和更改、同步其他主机的时间等
运维笔记11(linux系统日志rsyslogd,采集日志分类存放服务journalctld,时间同步服务chronyd)
No_red的博客
10-19 3154
概述:系统日志的分类,负责采集日志和分类存放的服务rsyslog,负责收集并存储各类日志数据的系统服务systemd-journald。
Linux下系统日志管理:rsyslog日志采集、时间同步、timedatectl、journalctl
Leslie_qlh的博客
07-18 1548
系统日志管理 1.rsyslog rsyslog服务是用来采集系统日志的,其不产生日志,只是起到采集作用(不是日志的生产者,只是日志的搬运工) 2.rsyslog的管理 (1)日志采集通道如下: /var/log/messages 服务信息日志 /var/log/secure 系统登陆日志 /var/log/cron 定时任务日志 /var/log/maillog 邮件日志 ...
ubuntu 22采集不到messages 日志
06-18
<think>我们正在解决Ubuntu22.04中无法采集messages日志的问题。根据之前的回答,我们知道Ubuntu22.04默认不生成/var/log/messages,但可以通过配置rsyslog来实现。用户现在再次提出这个问题,可能是配置过程中遇到了问题,或者需要更详细的指导。解决方案步骤:1.检查rsyslog是否安装并运行。2.创建自定义rsyslog配置文件,将日志定向到/var/log/messages。3.配置日志轮转,防止日志文件过大。4.重启rsyslog服务并验证。注意:用户可能之前尝试过配置但没有成功,因此我们需要详细说明每一步,并给出验证方法。根据引用[1]中提到的权限问题,我们需要确保创建的日志文件有正确的权限(syslog用户可写)。引用[2]和引用[3]似乎当前问题无关,引用[4]和引用[5]也不直接相关,因此我们主要参考之前回答中的步骤。具体步骤:步骤1:创建rsyslog配置文件在/etc/rsyslog.d/目录下创建一个新的配置文件,例如50-messages.conf。步骤2:配置日志规则将系统级日志(info及以上级别)写入/var/log/messages,同时排除一些已经单独记录的日志(如认证、计划任务、邮件等)。步骤3:设置日志轮转在/etc/logrotate.d/目录下创建messages文件,配置轮转规则。步骤4:重启服务并验证此外,如果用户仍然无法生成messages日志,我们需要提供故障排查步骤。下面按照要求生成回答。</think>### Ubuntu 22.04 无法采集 messages 日志解决方案 Ubuntu 22.04 默认使用 `journald` 日志系统,不再生成传统的 `/var/log/messages` 文件。以下是完整修复方案: #### 步骤 1:配置 rsyslog 生成 messages 日志 ```bash # 创建配置文件 sudo nano /etc/rsyslog.d/50-messages.conf ``` 添加内容: ```bash # 捕获所有 info 及以上级别日志(排除重复日志类型) *.info;authpriv.none;cron.none;mail.none -/var/log/messages # 包含内核日志 kern.* -/var/log/messages ``` **关键说明**: - `-` 前缀表示异步写入,避免 I/O 阻塞[^1] - 权限配置 `create 0640 syslog adm` 确保 syslog 用户可写入(权限问题参考引用[1]) #### 步骤 2:设置日志轮转策略 ```bash sudo nano /etc/logrotate.d/messages ``` 添加配置: ```bash /var/log/messages { daily rotate 7 compress delaycompress missingok create 0640 syslog adm # 权限设置 postrotate /usr/lib/rsyslog/rsyslog-rotate endscript } ``` **参数解析**: - `delaycompress`:延迟压缩前一个日志文件(便于近期问题排查) - `compress`:启用 gzip 压缩历史日志 - 权限设置参考 Linux 用户权限管理(引用[1]) #### 步骤 3:重启服务并验证 ```bash # 检查配置语法 sudo rsyslogd -N1 # 重启服务 sudo systemctl restart rsyslog # 验证日志生成 sudo ls -l /var/log/messages sudo tail -f /var/log/messages ``` 预期输出: ``` Jan 1 12:00:00 hostname kernel: [ 0.000000] Linux version... ``` #### 故障排查指南 1. **日志未生成**: ```bash # 检查服务状态 sudo systemctl status rsyslog --no-pager # 检查 journald 日志 journalctl -u rsyslog --since "5 min ago" ``` 2. **权限问题**: ```bash # 修复文件权限 sudo chown syslog:adm /var/log/messages sudo chmod 640 /var/log/messages ``` 3. **磁盘空间不足**: ```bash # 清理 journald 日志 sudo journalctl --vacuum-size=200M ``` > **技术原理**:Ubuntu 22.04 采用 `rsyslog` + `journald` 双日志系统。上述配置通过 rsyslog 规则将 `journald` 的日志转发到传统 messages 文件,同时保持日志结构化[^1]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值