一、inode和block
1、inode和block概述
-
文件数据包括元信息与实践数据。
-
文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节。
-
block(块)
- 接连的八个扇区组成一个block
- 是文件存取的最小单位
-
inode(索引节点)
- 中文译名为“索引节点”,也叫 i 节点
- 用于存储文件元信息
- 一个文件有必要占用一个inode ,至少占用一个block
2、inode和block联系
-
文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节。
-
一般接连八个扇区组成一个”块”(block),一个块是4K巨细,是文件存取的最小单位。操作体系读取硬盘的时候,是一次性接连读取多个扇区,即一个块一个块的读取的。
-
文件数据包括实践数据与元信息(类似文件特点)。文件数据存储在“块”中,存储文件元信息(比方文件的创立者、创立日期、文件巨细、文件权限等)的区域就叫做inode。 因而,一个文件有必要占用一个inode,并且至少占用一个block。
-
inode不包括文件名。文件名是存放在目录文件夹傍边的。Linux 体系中一切皆文件,因而目录也是一种文件。
-
每个inode都有一个号码,操作体系用inode号码来辨认不同的文件。Linux体系内部不运用文件名,而运用inode号码来辨认文件。关于体系来说,文件名仅仅inode号码便于辨认的别称,文件名和inode号码是一一对应联系,每个inode号码对应一个或多个文件名。
-
所以,当用户在Linux体系中试图拜访一个文件时,体系会先依据文件名去查找自己文件夹中的目录项,之后找到对应的inode号码;经过inode号码,获取inode信息;依据inode信息,看该用户是否具有拜访这个文件的权限;假如有,就指向相对应的数据block,并读取数据。
二、inode 详细介绍
1、inode 的内容
1)inode 表结构
每个文件的特点信息,比方:文件的巨细,时刻,类型,权限等,称为文件的元数据(meta data)。
元数据是存放在inode(index node)表中。inode 表中有很多条记载组成,第一条记载对应的存放了一个文件的元数据信息。
每一个inode表记载对应保存了文件的元信息:
- inode number 节点号
- 文件类型
- 文件的读、写、执行权限
- 文件属主的UID
- 文件属组的GID
- 链接数(指向这个文件名途径称号个数)
- 该文件的巨细和不同的时刻戳
- 指向磁盘上文件的数据块指针
- 有关文件的其他数据
2)Linux体系文件三个首要的时刻特点
-
atime(access time):最近拜访 最终一次拜访文件的时刻
-
mtime(modify):最近更改 最终一次更改文件内容的时刻
-
ctime(change time):最近改动 最终一次改变文件元信息的时刻
留意:
- 不翻开文件的话,atime不变。例如运用echo追加内容,atime不会变,因为文件没有被翻开拜访。
- 修正文件内容的话,mtime会变,ctime也会变。
- 假如只修正文件的权限,ctime变,mtime不变。
3)目录文件的结构
目录是个特别文件,目录文件的内容保存了此目录中文件的列表,以及inode number对应联系。
- 目录文件的结构非常简略,便是一系列目录项(dirent)的列表。
- 每个目录项,由两部分组成:所包括文件的文件名,以及该文件名对应的inode号码。
- 一个目录是目录下的文件名和文件inode号之间的映射。
- 每个inode都有一个号码,操作体系用inode号码来辨认不同的文件。
- Linux体系内部不运用文件名,而运用inode号码来辨认文件。
- 关于用户,文件名仅仅Inode号码便于辨认的别称。
目录文件自身的巨细,是依据所含目录项计算的,不是目录内一切子文件的巨细总和。
三、inode的号码
用户经过文件名翻开文件时,体系内部的进程:
-
用户拜访文件时,体系先去查找文件所属目录中的目录项,依据文件名找到对应的inode号码。
-
经过inode号码,获取inode信息。
-
依据inode信息,判别用户是否具备拜访权限。
- 假如有拜访权限,则使用指针去指向实践数据地点的block,读出数据。
- 假如没有拜访权限,则返回Permission denied。依据inode信息,使用指针去指向实践数据地点的block,读出数据。
- ls -i 指令:检查文件名对应的inode号码
- stat 指令:检查文件inode信息中的inode号码
[root@localhost data]# ls -i
64 aa 64 bb 64 mail
[root@localhost data]# stat /data/aa
文件:"/data/aa"
巨细:37 块:0 IO 块:4096 目录
设备:811h/2065d Inode:64 硬链接:2
权限:(0755/drwxr-xr-x) Uid:( 0/ root) Gid:( 0/ root)
最近拜访:2022-03-08 08:48:00.762262741 +0800
最近更改:2022-03-08 08:47:58.462261957 +0800
最近改动:2022-03-08 08:47:58.462261957 +0800
创立时刻:-
四、inode 与文件存储
1、硬盘分区后的结构
2 拜访文件的简略流程
五、inode 的巨细
-
inode也会耗费硬盘空间
- 每个inode的巨细一般是128字节或256字节
-
格局化文件体系时确认inode的总数
- 假如磁盘还有空间,但inode号被悉数占用,也无法创立新文件。
- inode号在同一个文件体系内仅有,在不同的文件体系中能够重复。
-
运用 “df -i” 指令能够检查每个硬盘分区的inode总数和现已运用的数量
[root@localhost ~]# df -i
文件体系 Inode 已用(I) 可用(I) 已用(I)% 挂载点
/dev/mapper/centos-root 5242880 147510 5095370 3% /
devtmpfs 229398 441 228957 1% /dev
tmpfs 233378 1 233377 1% /dev/shm
tmpfs 233378 655 232723 1% /run
tmpfs 233378 16 233362 1% /sys/fs/cgroup
/dev/sda1 524288 330 523958 1% /boot
/dev/sdb5 1048576 3 1048573 1% /data/bb
/dev/mapper/vg01-lvmail 6815744 3 6815741 1% /data/mail
/dev/sdb1 5242880 7 5242873 1% /data/aa
tmpfs 233378 9 233369 1% /run/user/42
tmpfs 233378 1 233377 1% /run/user/0
六、inode的特别作用
由于inode号码与文件名分离,导致一些Unix/Linux体系具有以下的现象:
1)当文件名包括特别字符,可能无法正常删去文件,直接删去inode,也能够删去文件。
包括特别字符的文件,也能够 “rm -rf ./-f1.txt” 或 “rm — -f.txt” 进行删去。 示例:
[root@localhost aaa]# ls -i //检查文件的inode号
8922118 -f1.txt 8922126 -f2.txt
[root@localhost aaa]# find -inum 8922118 -delete //经过inode号删去文件
[root@localhost aaa]# find -inum 8922126 -exec rm -rf {} ; //经过inode号删去文件
[root@localhost aaa]# ls //检查目录内容,文件已被删去
[root@localhost aaa]#
2)在同一个文件体系中移动或重命名文件时,只改变文件名,不影响inode号码。
[root@localhost aaa]# ls -i ff.txt
8922129 ff.txt
[root@localhost aaa]# mv ff.txt ../dir01/kk.txt
[root@localhost aaa]# ls -i ../dir01/kk.txt
8922129 ../dir01/kk.txt
3)翻开一个文件后,体系经过inode号码来辨认该文件,不再考虑文件名。
七、指令和inode号之间的联系
cp 指令:
- 分配一个闲暇的inode号,在inode表中生成新条目
- 在目录中创立一个目录项,将称号与inode编号关联
- 拷贝数据生成新的文件
rm 指令:
- 硬链接数递减,然后开释的inode号能够被重用
- 把数据块放在闲暇列表中
- 删去目录项
- 数据实践上不会马上被删去,但当另一个文件运用数据块时将被掩盖
mv指令:
-
假如mv指令的方针和源在同一设备,
不影响inode表(除时刻戳)或磁盘上的数据方位;
体系会删去旧的目录对应联系,新建目录对应联系。
八、硬链接和软链接
ln 源文件 方针文件 //创立硬链接文件
ln -s 源文件或目录 方针文件 //创立软衔接文件
留意:
创立软链接时,源文件有必要运用绝对途径。
九、删去文件后空间不开释的处理方法
删去文件后,假如磁盘空间没有开释,是因为文件正在被其他人翻开。 其他人退出运用该文件后空间会被开释。
能够运用 w 指令或 lsof 指令检查是否有人在运用该文件。
[root@localhost ~]# w
22:23:08 up 1:14, 4 users, load average: 0.17, 0.14, 0.08
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.72.1 21:17 4.00s 0.12s 0.03s vim 1.txt
root pts/1 192.168.72.1 21:17 1:05m 4.45s 4.43s top
root pts/2 192.168.72.1 22:22 4.00s 0.02s 0.00s w
root pts/3 192.168.72.1 22:22 11.00s 0.04s 0.01s top
假如确认有人翻开了该文件,能够运用三种方法开释空间:
1.echo " " > f1.txt //将被翻开的文件变成空文件,依赖shell环境
2.cat /dev/null > f1.txt //导入空文件
3.lsof | grep f1.txt //检查被删去的文件和对应PID,之后杀死该进程
kill -9 PID
留意:
删去文件前,一定要确认清除该文件是否为有用文件。
十、日志文件介绍与剖析
1、日志文件介绍
日志的功用:
- 用于记载体系、程序运转中发生的各种事情
- 经过阅览日志,有助于诊断和解决体系毛病
日志文件的分类:
-
内核及体系日志:
这种日志数据由体系服务rsyslog一致办理,依据其主装备文件/etc/rsyslog.conf中的设置,决定将内核音讯及各种体系程序音讯记载到什么方位。日志格局基本相似。
-
用户日志:
记载用户登录及退出体系的相关信息,包括用户名、登录的终端、登录时刻、来历主机、正在运用的进程操作等。
-
程序日志:
有些运用程序会选择由自己独立办理一份日志文件(而不是交给rsyslog服务办理),用于记载本程序运转进程中的各种事情信息。记载格局不一致。
日志保存方位:
- 默许坐落:/var/log 目录下
首要日志文件介绍:
2、内核及体系日志
由体系服务 rsyslog 一致办理,依据其主装备文件 /etc/rsyslog.conf。
- 软件包:rsyslog-8.24.0-12.el7.x86_64 (可运用 ”rpm -q“ 指令检查)
- 首要程序:/sbin/rsyslogd
- 装备文件:/etc/rsyslog.conf (可运用 ”rpm -qc“ 指令检查)
日志音讯的等级:
- 事情发生的时刻。
- 发生事情的服务器的主机名。
- 发生事情的服务名或程序名。
- 事情的详细信息。
3、用户日志剖析
保存了用户登录、退出体系等相关信息:
- /var/log/lastlog:最近都用户登录事情。二进制文件,运用 lastlog 指令检查。
- /var/log/secure:与用户验证有关的安全性事情。
- /var/log/wtmp:用户登录、注销,及体系开、关机事情。二进制文件,运用 last 指令检查。
- /var/run/utmp:当时登录的每个用户的详细信息。二进制文件,运用w、who、users等指令检查。
剖析东西:
- users、who、w、last、lastb
示例:
1)users:查询最近三次登录的用户信息。
users 指令仅仅简略地输出当时登录的用户称号,每个显现的用户名对应一个登录会话。 假如一个用户有不止一个登录会话,那他的用户名将显现与其相同的次数。
2)who:检查当时登录的用户、终端、登录时刻、IP地址。
who指令用于报告当时登录到体系中的每个用户的信息。运用该指令,体系办理员可
以检查当时体系存在哪些不合法用户,然后对其进行审计和处理。who 的默许输出包括用
户名、终端类型、登录日期及长途主机。
3)w:检查当时登录的用户、终端、IP地址、登录时刻、占用CPU的状况、进程等。
w 指令用于显现当时体系中的每个用户及其所运转的进程信息,比 users、who 指令的 输出内容要丰厚一些。
4)last: 读取 /var/log/wtmp 文件,显现登录体系的用户信息。
last 指令用于查询成功登录到体系的用户记载,最近的登录状况将显现在最前面。经过 last 指令能够及时掌握 Linux 主机的登录状况,若发现未经授权的用户登录过,则表明当时 主机可能已被侵略。
5)lastb:读取 /var/log/btmp 文件,显现登入体系失利的用户信息
lastb 指令用于查询登录失利的用户记载,如登录的用户名错误、密码不正确等状况都将记载在案。登录失利的状况归于安全事情,因为这表明可能有人在尝试猜解你的密码。除 了运用 lastb 指令检查以外,也能够直接从安全日志文件/var/log/secure 中获得相关信息。
4、程序日志剖析
由相应的运用程序独立进行办理:
-
Web服务:/var/log/httpd/
- access_log、error_log
-
署理服务:/var/log/squid
- access.log、cache.log
-
FTP服务:/var/log/xferlog
剖析东西:
- 文本检查、grep过滤检索、Webmin办理套件中检查
- awk、sed等文本过滤、格局化修改东西
- Webalizer、Awstats等专用日志剖析东西
5、日志办理策略
-
及时做好备份和归档
-
延长日志保存期限
-
控制日志拜访权限
- 日志中可能会包括各类灵敏信息,如账户、口令等。
-
会集办理日志
- 将服务器的日志文件发到一致的日志文件服务器
- 便于日志信息的一致收集、收拾和剖析
- 杜绝日志信息的意外丢掉、恶意篡改或删去
十一、内核及体系日志办理
1、体系日志相关服务
CentOS 5 之前版本选用的日志办理体系服务
- syslogd: system application 记载运用日志
- klogd: linux kernel 记载内核日志
事情记载格局:
- 日期时刻 主机 进程[pid]: 事情内容
C/S架构:
- 经过TCP或UDP协议的服务完结日志记载传送,将散布在不同主机的日志完成会集办理
1、sysklogd 体系日志服务介绍
CentOS 5 之前版本选用的日志办理体系服务
- syslogd: system application 记载运用日志
- klogd: linux kernel 记载内核日志
事情记载格局:
- 日期时刻 主机 进程[pid]: 事情内容
C/S架构:
- 经过TCP或UDP协议的服务完结日志记载传送,将散布在不同主机的日志完成会集办理
2、rsyslog 体系日志服务
rsyslog是CentOS 6今后版本的体系办理服务:它供给了高性能,出色的安全性和模块化设计。虽然rsyslog开始是惯例的syslogd,但发展成为一种瑞士军刀式的记载东西,能够承受来自各种来历的输入,并将其转化,然后输出到不同的目的地。
当运用有限的处理时,RSYSLOG每秒能够将超过一百万的音讯传递到本地目的地。即使在长途的目的地和更精细的处理中,性能一般也被认为是惊人的”。
官网:
www.rsyslog.com/
rsyslog 特性:
- 多线程
- UDP, TCP, SSL, TLS, RELP
- MySQL, PGSQL, Oracle完成日志存储
- 强大的过滤器,可完成过滤记载日志信息中恣意部分
- 自定义输出格局
[root@localhost ~]#rpm -qi rsyslog
Name : rsyslog
Version : 8.24.0
Release : 12.el7
Architecture: x86_64
Install Date: 2021年08月06日 星期五 20时59分53秒
Group : System Environment/Daemons
Size : 2001814
License : (GPLv3+ and ASL 2.0)
Signature : RSA/SHA256, 2017年08月11日 星期五 03时43分05秒, Key ID 24c6a8a7f4a80eb5
Source RPM : rsyslog-8.24.0-12.el7.src.rpm
Build Date : 2017年08月07日 星期一 08时56分12秒
Build Host : c1bm.rdu2.centos.org
Relocations : (not relocatable)
Packager : CentOS BuildSystem <http://bugs.centos.org>
Vendor : CentOS
URL : http://www.rsyslog.com/
Summary : Enhanced system logging and kernel message trapping daemon
Description :
Rsyslog is an enhanced, multi-threaded syslog daemon. It supports MySQL,
syslog/TCP, RFC 3195, permitted sender lists, filtering on any message part,
and fine grain output format control. It is compatible with stock sysklogd
and can be used as a drop-in replacement. Rsyslog is simple to set up, with
advanced features suitable for enterprise-class, encryption-protected syslog
relay chains.
3、ELK
ELK:由Elasticsearch、Logstash、Kibana三个软件组成。
- 非联系型散布式数据库根据apache软件基金会jakarta项目组的项目lucene
- Elasticsearch是个开源散布式搜索引擎,能够处理大规模日志数据,比方:Nginx、Tomcat、体系日志等功用
- Logstash对日志进行收集、剖析,过滤,并将其存储供今后运用
- Kibana 能够供给的日志剖析友好的 Web 界面
2、rsyslog办理
1体系日志术语
- facility:设施,从功用或程序上对日志进行归类
#内置分类
auth(验证), authpriv, cron(守时任务), daemon,ftp,kern, lpr, mail, news, security(auth), user, uucp, syslog
#自定义的分类
local0-local7
- Priority 优先等级,从低到高排序
debug, info, notice, warn(warning), err(error), crit(critical), alert, emerg(panic)
- 参看帮助: man 3 syslog,man logger
[root@localhost ~]# yum -y install man-pages
[root@localhost ~]# man 3 syslog
level
This determines the importance of the message. The levels are, in order of decreasing impor‐
tance:
LOG_EMERG system is unusable
LOG_ALERT action must be taken immediately
LOG_CRIT critical conditions
LOG_ERR error conditions
LOG_WARNING warning conditions
LOG_NOTICE normal, but significant, condition
LOG_INFO informational message
LOG_DEBUG debug-level message
服务称号(即什么服务发生的日志):
2 rsyslog 相关文件
- 程序包:rsyslog
- 主程序:/usr/sbin/rsyslogd
- CentOS 6:/etc/rc.d/init.d/rsyslog {start|stop|restart|status}
- CentOS 7,8:/usr/lib/systemd/system/rsyslog.service
- 装备文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf
- 库文件: /lib64/rsyslog/*.so
3 rsyslog 装备文件
/etc/rsyslog.conf 装备文件格局(由三部分组成):
- MODULES:相关模块装备
- GLOBAL DIRECTIVES:大局装备
- RULES:日志记载相关的规矩装备
检查/etc/rsyslog.conf 文件中的RULES模块:
RULES装备格局:
facility.priority;
#分类 优先级
# priority 的表明 #
*: 一切等级
none:没有等级,即不记载
PRIORITY:指定等级(含)以上的一切等级
=PRIORITY:仅记载指定等级的日志信息
文件途径:一般在/var/log/,文件途径前的-表明异步写入。
用户:将日志事情通知给指定的用户,* 表明登录的一切用户。
日志服务器:@host,把日志送往至指定的长途UDP日志服务器;@@host,将日志发送到长途TCP日志服务器。
管道: | COMMAND,转发给其它指令处理。
3、rsyslog 运用实例
1 将ssh服务的日志单独设置
试验过程:
过程1:修正rsyslog服务的装备文件/etc/rsyslog.conf,设置LOCAL0对应的日志途径。
[root@localhost ~]# vim /etc/rsyslog.conf
------------------------
local0.* /var/log/sshd.log
(ssh服务的日志默许放在authpriv服务对应的途径下,需先将该行注释掉。)
[root@localhost ~]# vim /etc/ssh/sshd_config
------------------------
#SyslogFacility AUTHPRIV //原途径,注释掉这一行
SyslogFacility LOCAL0 //增加自定义途径
[root@localhost ~]# systemctl restart {rsyslog,sshd}
过程4:翻开第二台机器,长途衔接原服务器。故意输错2次密码,稍后检查原服务器的日志。
[root@192 ~]# ssh 192.168.72.10
root@192.168.72.10's password:
Permission denied, please try again.
root@192.168.72.10's password:
Permission denied, please try again.
root@192.168.72.10's password:
过程5:检查原服务器的日志记载。/var/log/sshd.log 成功记载了第二台机器的行为。
[root@localhost ~]# tail -3 /var/log/sshd.log
Mar 12 01:32:04 localhost sshd[8398]: Connection closed by 192.168.72.129 port 55592 [preauth]
Mar 12 01:32:29 localhost sshd[9433]: Failed password for root from 192.168.72.129 port 55594 ssh2
Mar 12 01:32:48 localhost sshd[9433]: Failed password for root from 192.168.72.129 port 55594 ssh2
2 网络日志(长途日志功用)
长途日志,即经过网络,将本地的日志长途备份到另一台机器,这样,就算本机体系溃散,我们能够检查另一台机器备份的日志,来排查毛病。
试验思路:
假定服务器A需求将日志备份到服务器B,那么A是发送方,B是接纳方。
接纳方需求敞开TCP功用(或UDP功用)和514接口,发送方需填写想要传输的日志和接纳方的地址。
试验过程:
过程1:接纳方敞开TCP功用和514端口(修改rsyslog的装备文件 /etc/rsyslog.conf)。
封闭防火墙
systemctl stop firewalld //封闭防火墙
修改装备文件,敞开TCP功用和514端口(去掉这两行原有的#号);
重启rsyslog 服务;
检查514端口是否敞开。
[root@192 ~]# systemctl stop firewalld //封闭防火墙
[root@192 ~]# vim /etc/rsyslog.conf //修改装备文件
------------------------
# Provides TCP syslog reception
$ModLoad imtcp //敞开TCP功用
$InputTCPServerRun 514 //敞开514端口
[root@192 ~]# systemctl restart rsyslog //重启日志服务
[root@192 ~]# ss -ntap | grep 514 //检查514端口是否敞开
LISTEN 0 25 *:514 *:* users:(("rsyslogd",pid=12528,fd=3))
FIN-WAIT-2 0 0 192.168.72.129:514 192.168.72.10:42556
LISTEN 0 25 :::514 :::* users:(("rsyslogd",pid=12528,fd=4))
过程2:发送方填写需求传输的日志和接纳方的IP地址(修改装备文件 /etc/rsyslog.conf)。
封闭防火墙;
修改装备文件,填写需求传输的日志和接纳方地址;
重启rsyslog 服务;
测试日志打印。
(@地址表明运用UDP功用;@@地址表明运用TCP地址)
[root@localhost log]# systemctl stop firewalld //封闭防火墙
[root@localhost log]# vim /etc/rsyslog.conf //修改装备文件
------------------------
*.info;mail.none;authpriv.none;cron.none @@192.168.72.129
[root@localhost log]# systemctl restart rsyslog //重启日志服务
[root@localhost log]# logger "this test 777777" //测试日志打印
[root@localhost log]# tail -1 /var/log/messages //检查日志记载
Mar 8 12:14:51 localhost root: this test 777777
过程3:检查接纳方能否成功接纳日志记载。
接纳方服务器成功记载测试日志。
[root@192 ~]# grep 7777 /var/log/messages
Mar 8 12:12:44 localhost root: this test 777777
Mar 8 12:14:51 localhost root: this test 777777
Mar 8 12:21:20 localhost root: this test 777777
Mar 8 12:23:30 localhost root: this test 777777
十一、日志办理东西 journalctl
CentOS 7 今后,使用Systemd 一致办理一切 Unit 的发动日志。带来的好处便是,能够只用journalctl一个指令,检查一切日志(内核及体系日志和运用日志)。
日志的装备文件:
/etc/systemd/journald.conf
journalctl指令格局:
journalctl [OPTIONS...] [MATCHES...]
示例:
1)journalctl,检查一切日志。 默许状况下,只保存本次发动的日志。
[root@localhost ~]# journalctl | head
-- Logs begin at 六 2022-03-12 18:55:23 CST, end at 六 2022-03-12 19:05:17 CST. --
3月 12 18:55:23 localhost.localdomain systemd-journal[87]: Runtime journal is using 8.0M (max allowed 91.1M, trying to leave 136.7M free of 903.6M available → current limit 91.1M).
3月 12 18:55:23 localhost.localdomain kernel: Initializing cgroup subsys cpuset
3月 12 18:55:23 localhost.localdomain kernel: Initializing cgroup subsys cpu
3月 12 18:55:23 localhost.localdomain kernel: Initializing cgroup subsys cpuacct
3月 12 18:55:23 localhost.localdomain kernel: Linux version 3.10.0-693.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) ) #1 SMP Tue Aug 22 21:09:27 UTC 2017
3月 12 18:55:23 localhost.localdomain kernel: Command line: BOOT_IMAGE=/vmlinuz-3.10.0-693.el7.x86_64 root=/dev/mapper/centos-root ro crashkernel=auto rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet
3月 12 18:55:23 localhost.localdomain kernel: Disabled fast string operations
3月 12 18:55:23 localhost.localdomain kernel: e820: BIOS-provided physical RAM map:
3月 12 18:55:23 localhost.localdomain kernel: BIOS-e820: [mem 0x0000000000000000-0x000000000009ebff] usable
2)journalctl -k, 只检查内核日志(不显现运用日志)。
[root@localhost ~]# journalctl -k |head
-- Logs begin at 六 2022-03-12 18:55:23 CST, end at 六 2022-03-12 19:13:14 CST. --
3月 12 18:55:23 localhost.localdomain kernel: Initializing cgroup subsys cpuset
3月 12 18:55:23 localhost.localdomain kernel: Initializing cgroup subsys cpu
3月 12 18:55:23 localhost.localdomain kernel: Initializing cgroup subsys cpuacct
3月 12 18:55:23 localhost.localdomain kernel: Linux version 3.10.0-693.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) ) #1 SMP Tue Aug 22 21:09:27 UTC 2017
3月 12 18:55:23 localhost.localdomain kernel: Command line: BOOT_IMAGE=/vmlinuz-3.10.0-693.el7.x86_64 root=/dev/mapper/centos-root ro crashkernel=auto rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet
3月 12 18:55:23 localhost.localdomain kernel: Disabled fast string operations
3月 12 18:55:23 localhost.localdomain kernel: e820: BIOS-provided physical RAM map:
3月 12 18:55:23 localhost.localdomain kernel: BIOS-e820: [mem 0x0000000000000000-0x000000000009ebff] usable
3月 12 18:55:23 localhost.localdomain kernel: BIOS-e820: [mem 0x000000000009ec00-0x000000000009ffff] reserved
3)journalctl -b ,检查本次发动的日志。
journalctl -b -0,检查本次发动的日志。
journalctl -b -1,检查上一次发动的日志。
以此类推。
[root@localhost ~]# journalctl -b -0 |head -5 //检查本次发动的日志
-- Logs begin at 六 2022-03-12 18:55:23 CST, end at 六 2022-03-12 19:20:01 CST. --
3月 12 18:55:23 localhost.localdomain systemd-journal[87]: Runtime journal is using 8.0M (max allowed 91.1M, trying to leave 136.7M free of 903.6M available → current limit 91.1M).
3月 12 18:55:23 localhost.localdomain kernel: Initializing cgroup subsys cpuset
3月 12 18:55:23 localhost.localdomain kernel: Initializing cgroup subsys cpu
3月 12 18:55:23 localhost.localdomain kernel: Initializing cgroup subsys cpuacct
4)检查指守时刻的日志。
journalctl --since="2022-03-05 18:10:30"
journalctl --since "20 min ago"
journalctl --since yesterday
journalctl --since "2022-03-05" --until "2022-03-10 03:00"
journalctl --since 09:00 --until "1 hour ago"
5) journalctl -n <数字>,显现尾部指定行数。默许10行。
journalctl -n //显现尾部的最新10行日志
journalctl -n 20 //显现尾部的最新20行日志
6)journalctl -f,实时翻滚显现最新日志(显现最新10行)
[root@localhost ~]# journalctl -f
-- Logs begin at 六 2022-03-12 18:55:23 CST. --
3月 12 19:11:12 localhost.localdomain systemd[1]: Starting Cleanup of Temporary Directories...
3月 12 19:11:12 localhost.localdomain systemd[1]: Started Cleanup of Temporary Directories.
3月 12 19:13:14 localhost.localdomain chronyd[815]: Selected source 111.230.189.174
3月 12 19:20:01 localhost.localdomain systemd[1]: Started Session 6 of user root.
3月 12 19:20:01 localhost.localdomain systemd[1]: Starting Session 6 of user root.
3月 12 19:20:01 localhost.localdomain CROND[20970]: (root) CMD (/usr/lib64/sa/sa1 1 1)
3月 12 19:30:01 localhost.localdomain systemd[1]: Started Session 7 of user root.
3月 12 19:30:01 localhost.localdomain systemd[1]: Starting Session 7 of user root.
3月 12 19:30:01 localhost.localdomain CROND[33816]: (root) CMD (/usr/lib64/sa/sa1 1 1)
3月 12 19:32:32 localhost.localdomain chronyd[815]: Source 84.16.67.12 replaced with 139.199.214.202
7) 检查指定服务的日志
journalctl /usr/lib/systemd/systemd
8)检查指定进程的日志
journalctl _PID=1 //检查某个途径的脚本的日志
journalctl /usr/bin/bash
9)检查指定用户的日志
journalctl _UID=33 --since today
10)检查某个 Unit 的日志;
实时翻滚显现某个 Unit 的最新日志
journalctl -u nginx.service
journalctl -u nginx.service --since today
journalctl -u nginx.service -f //实时翻滚显现某个 Unit 的最新日志
11)兼并显现多个 Unit 的日志
journalctl -u nginx.service -u php-fpm.service --since today
12)检查指定优先级的日志,表明仅显现小于或等于此等级的日志 (也便是重要程度等于或高于此等级的日志)。
共有8级
0: emerg
1: alert
2: crit
3: err
4: warning
5: notice
6: info
7: debug
journalctl -p 3 -b //显现重要程度等于和高于err的日志
13)其他选项
#日志默许分页输出,--no-pager 改为正常的规范输出
journalctl --no-pager
#以 JSON 格局(单行)输出
journalctl -b -u nginx.service -o json
#以 JSON 格局(多行)输出,可读性更好
journalctl -b -u nginx.serviceqq -o json-pretty
#显现日志占据的硬盘空间
journalctl --disk-usage
#指定日志文件占据的最大空间
journalctl --vacuum-size=1G
#指定日志文件保存多久
journalctl --vacuum-time=1years
