✈️ 🔷 🤵 journalctlを使用したログの表示と分析：詳細ガイド 🕴🏽 🍆 💧

Journalctlは、ログを分析するための優れたツールであり、通常、意欲的なLinux管理者に最初に慣れたツールの1つです。組み込みのローテーション機能、豊富なフィルタリング機能、およびすべてのsystemdユニットサービスのログを1つのツールで表示する機能は非常に便利であり、システム管理者の作業を大幅に容易にします。

この記事では、journalctlの主な機能とその使用方法について説明します。 journalctlを使用すると、システムログを表示して、systemd初期化デーモンを備えたLinuxディストリビューションを使用して、ワークステーションまたはサーバーで発生した問題を解決できます。systemd初期化デーモンは、RHEL、CentOS、Fedora、Debianなどの最新のLinuxシステムですでに事実上の標準になっています。

systemdはそれほど優れていないという認識があります。システムをロードし、今日でも論争の的となっていますが、システム管理とトラブルシューティングのための優れたツールセットを提供することは否定できません。起動すらしない問題のあるサーバーを処理する必要があると想像してください。その場合、ライブディストリビューションから起動し、システムパーティションをマウントし、systemdログを調べて問題が何であるかを確認できます。

Systemd

Systemdには3つの主要なコンポーネントがあります。

systemd-システムおよびサービスマネージャー
systemctl-サービスのステータスを表示および管理するためのユーティリティ
systemd-analyze-システムの起動プロセスに関する統計を提供し、ユニットファイルの正確性をチェックし、systemdのデバッグ機能も備えています

ジャーナル

Journaldはsystemdロギングデーモンです。 Systemdは、プロセスやアプリケーションなどからのシステムログを一元管理するように設計されています。このようなイベントはすべてjournaldデーモンによって処理され、システム全体からログを収集してバイナリファイルに保存します。

バイナリ形式でのイベントの集中ログの利点は非常に多く、たとえば、システムログは、必要に応じて、プレーンテキストやJSONなどのさまざまな形式に変換できます。日付と時刻のフィルターを使用して、ログを1つのイベントまで追跡することも非常に簡単です。

ジャーナルログファイルは数千のイベントを収集でき、新しいイベントごとに更新されるため、Linuxシステムが十分に長く実行されている場合、ログファイルのサイズは数ギガバイト以上に達する可能性があります。したがって、このようなログの分析は遅延して発生する可能性があります。この場合、ログを分析するときに、出力をフィルタリングして作業を高速化できます。

ジャーナル設定ファイル

構成ファイルは次のパスにあります：/etc/systemd/journald.conf、journaldのさまざまな設定が含まれています。何をしているか確信が持てない限り、このファイルを変更することはお勧めしません。

ジャーナルジャーナルのあるディレクトリは、/ run / log / journalにあります（ログの永続ストレージが構成されていない場合ですが、後で詳しく説明します）。

ファイルはバイナリ形式で保存されるため、catまたはnanoを使用して表示するのが通常です。多くの管理者が慣れているように、ファイルは機能しません。

journalctlを使用してログを表示および分析する

表示する基本的なコマンド：

# journalctl

システムの起動が開始された瞬間から、エラーや警告を含むすべてのログのすべてのエントリが出力されます。古いイベントレコードが一番上に、新しいイベントレコードが一番下に表示されます。PageUpとPageDownを使用してリストを移動し、Enterを使用してログを1行ずつスクロールし、Qを使用して終了します。

デフォルトでは、journalctlは、システムで構成されたタイムゾーンに従ってイベントの時刻を表示します。journalctlでは、UTC時刻でログを表示することもできます（この時間標準では、イベントはジャーナルファイル内に保存されます）。これには、次のコマンドを使用できます。

# journalctl --utc

重要度によるイベントのフィルタリング

システムはさまざまなレベルの重大度のイベントを記録します。一部のイベントは無視できる警告である場合があり、一部は致命的なエラーである場合があります。他のメッセージを無視してエラーのみを表示する場合は、

重大度コードを示すコマンドを入力します。＃journalctl -p 0重大度

レベルの場合、次の表記が受け入れられます。

0：緊急（システムが動作しない）
1：アラート（早急な対応が必要なアラート）
2：クリティカル
3：エラー
4：警告
5：通知
6：情報（情報メッセージ）
7：デバッグ（デバッグメッセージ）

重大度コードを指定すると、journalctlはその重大度コード以上のすべてのメッセージを出力します。たとえば、-p 2オプションを指定すると、journalctlはレベル2、1、および0のすべてのメッセージを表示します。

ログストレージの設定

デフォルトでは、journaldは再起動のたびにログを上書きし、journalctlを呼び出すと現在のシステム起動からのログが出力されます。

ログの永続的な保存を構成する必要がある場合は、これを個別に構成する必要があります。開発者は、rsyslogを複製しないために、すべてのログの永続的なストレージを放棄しました。

構成ファイル/etc/systemd/journald.confでStorage =パラメーターがauto）に設定されていて、ディレクトリ/ var / log / journal /が存在しない場合、ログは/ var /の場合、再起動の間に保存せずに/ run / log / journalに書き込まれます。 log / journal /が存在する場合、ログは永続的にそこに保存されますが、ディレクトリが削除された場合、systemdは自動的に再作成せず、代わりに保存せずに/ run / systemd / journalにログバックします。この場合、ディレクトリを再作成するには、ストレージ=永続性をjournald.confに追加し、systemd-journald.serviceを再起動（または再起動）します。

ログを保存するためのディレクトリを作成し、必要な属性を設定して、サービスを再起動します。

# mkdir /var/log/journal
# systemd-tmpfiles --create --prefix /var/log/journal
# systemctl restart systemd-journald

ダウンロードログを表示する

journaldがログを永続的に保存するように構成されている場合、個々のダウンロードごとにログを表示できます。次のコマンドでログを一覧表示します。

# journalctl --list-boots

最初の番号は、特定のセッションのログを表示するために使用できるログ番号を示しています。2番目のブートIDを使用して、別のログを表示することもできます。

次の2つの日付、つまりログが書き込まれた期間。これは、特定の期間のログを検索する場合に便利です。

たとえば、現在のシステム起動からログを表示するには、次のコマンドを使用できます。

# journalctl -b 0

そして、前回のダウンロードのログを表示するには：

# journalctl -b -1

特定の期間のログを表示する

Journalctlを使用すると、「昨日」（昨日）、「今日」（今日）、「明日」（明日）、「今」（今）などの単語を使用できます。

したがって、「-since」オプションを使用できます（ログを表示する期間の最初から）。

特定の日時から：

# journalctl --since "2020-12-18 06:00:00"

特定の日付から特定の日時まで：

# journalctl --since "2020-12-17" --until "2020-12-18 10:00:00

昨日から：

# journalctl --since yesterday

午前9時から1時間前の瞬間まで：

# journalctl --since 09:00 --until "1 hour ago"

カーネルメッセージの表示

現在のブートに関するLinuxカーネルからのメッセージを表示するには、-kスイッチを指定してコマンドを使用します。

# journalctl -k

特定のsystemdサービスまたはアプリケーションのログの表示

特定のsystemdサービスのログをフィルタリングできます。たとえば、NetworkManagerからログを表示するには、次のコマンドを使用できます。

# journalctl -u NetworkManager.service

サービスの名前を見つける必要がある場合は、次のコマンドを使用します。

# systemctl list-units --type=service

また、実行可能ファイルを指定してアプリケーションログを表示することもできます。たとえば、今日のnginxからのすべてのメッセージを表示するには、次のコマンドを使用できます。

# journalctl /usr/sbin/nginx --since today

または、特定のPIDを指定することによって：

# journalctl _PID=1

追加の表示オプション

新しいメッセージに注意してください（tail -fと同様）：

# journalctl -f

最後のエントリに「巻き戻し」てログを開きます。

# journalctl -e

ログのあるディレクトリに大量のデータがある場合、journalctl出力のフィルタリングに時間がかかることがあります。監視する必要のあるログのみをjournalctlに指定して、-fileオプションを使用すると、プロセスを大幅に高速化できます。

journalctl --file /var/log/journal/e02689e50bc240f0bb545dd5940ac213/system.journal -f

デフォルトでは、journalctlは画面の幅に合わない行の部分を切り取りますが、行の折り返しが望ましい場合もあります。この機能は、lessに渡されるオプション（デフォルトのページングプログラム）を含むSYSTEMD_LESS環境変数によって制御されます。デフォルトでは、変数はFRSXMKです。Sオプションを削除しても、行は切り捨てられません。

例えば：

SYSTEMD_LESS=FRXMK journalctl

ログサイズの制限

Journaldが再起動後にログを保持するように構成されている場合、デフォルトでは、ジャーナルのサイズはファイルパーティションの10％に制限され、最大4GBのディスクスペースを占有できます。

最大ログサイズは、ジャーナル構成ファイルの次の設定のコメントを解除して編集することで調整できます。

SystemMaxUse=50M

ログの削除

アーカイブされたログファイルは、rmまたはjournalctlを使用して手動で削除できます。

ログを削除し、最後の100MBのみを残します。

# journalctl --vacuum-size=100M

ログを削除し、過去7日間のログのみを残します。

# journalctl --vacuum-time=7d

結論

ジャーナルログサービスは非常に強力で柔軟なツールであり、その使用方法を知っていれば、システムまたはそのサービスの問題の原因を探しながら、作業を大幅に楽にすることができます。

journalctlを使用したログの表示と分析：詳細ガイド