Log Systemd (`journalctl`) terlalu besar dan lambat

20

Saya journalctlmenyimpan lebih dari 300 MB log seperti yang diungkapkan oleh journalctl --disk-usage. Semuanya tampak berurutan ketika saya menjalankan journalctl --verify:

$ journalctl --disk-usage
Archived and active journals take up 328.0M on disk.

$ journalctl --verify
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/system.journal    
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-65534.journal
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/system@02f1aae76e32467390ab88ba03ae559e-0000000000000001-00056515dbdcd67e.journal
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-1000.journal 
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-65534@9838f64d6ee047bebec9d30d329064d4-00000000000005bb-00056515dbfe8d9d.journal

Saya perhatikan betapa lambatnya sistem ketika saya pipa grepdari journalctl.

Bagaimana saya bisa mengurangi ukuran dari apa yang saya simpan journalctl?

Gambar .GIF asli

WinEunuuchs2Unix
sumber

Jawaban:

29

systemd dilengkapi dengan penyedot debu yang bagus

Untuk batas file log untuk ukuran tertentu systemdmenyediakan vacuumfitur untuk "menghisap" informasi lebih tua dari file log. Parameter yang diizinkan adalah:

 --vacuum-size=BYTES   Reduce disk usage below specified size
 --vacuum-files=INT    Leave only the specified number of journal files
 --vacuum-time=TIME    Remove journal files older than specified time

Misalnya untuk mengurangi konsumsi 312 MB hingga 200 MB (atau kurang) gunakan:

$ journalctl --vacuum-size=200M
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/[email protected]~ (56.0M).
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/[email protected]~ (8.0M).
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-1000@1bbb77599cf14c65a18af51646751696-000000000000064f-00056444d58433e1.journal (112.0M).
Vacuuming done, freed 176.0M of archived journals on disk.

Ruang Disk disimpan

The journalctlukuran berkurang secara substansial:

$ journalctl --disk-usage
Archived and active journals take up 136.0M on disk.

Ukuran telah turun dari 312 MB menjadi 136 MB, penghematan 176 MB dan 64 MB lebih dari yang diharapkan. Ini mungkin anomali satu kali karena file log tunggal besar yang luar biasa. Saya akan merevisi jawaban ini setelah sebulan jika info baru muncul.

Log Booting berkurang

Jumlah journalctllog boot adalah 32 tetapi sekarang dikurangi menjadi 26:

$ journalctl --list-boots
-26 0f230cc546fd4aec8f5233e0074ab3e1 Tue 2018-02-13 03:57:20 MST—Wed 2018-02-14 
-25 c0d2c0141dd840cbab75d3c2254f8781 Wed 2018-02-14 22:59:13 MST—Sat 2018-02-17 
-24 aafb2573a6374e019a7165cb8eee74a0 Sun 2018-02-18 06:02:03 MST—Mon 2018-02-19 
-23 8462f1969c6f4d61973e7e245014b846 Mon 2018-02-19 04:16:53 MST—Sat 2018-02-24 
-22 7f71ac2fb9714c49aa05989b741655f2 Sat 2018-02-24 04:24:36 MST—Sat 2018-02-24 
-21 b12a48c363474e5fb39311a166a98d54 Sat 2018-02-24 04:28:09 MST—Sun 2018-02-25 
-20 fbef1e659de64a0cbdcb9994f5a39457 Sun 2018-02-25 17:48:20 MST—Mon 2018-02-26 
-19 3d9b4c10f98d4ef7aab1cb2baa9b74e1 Mon 2018-02-26 08:37:01 MST—Mon 2018-02-26 
-18 4412b117dcc648aa9eceabcd0f205207 Mon 2018-02-26 08:38:00 MST—Mon 2018-02-26 
-17 f6794cbb7fb24213a6f2c3e368f666a1 Mon 2018-02-26 08:39:12 MST—Mon 2018-02-26 
-16 472f968506ed446ab12cf7abc65fa81a Mon 2018-02-26 08:49:37 MST—Mon 2018-02-26 
-15 d575c609d82e4ecd8dcebb70d40160d7 Mon 2018-02-26 17:07:36 MST—Mon 2018-02-26 
-14 878cfd9239a84dae80c62e7413c72951 Mon 2018-02-26 17:24:54 MST—Mon 2018-02-26 
-13 7f9913c7dbff46ab9bbd7c2cbefc4d7d Mon 2018-02-26 17:35:19 MST—Mon 2018-02-26 
-12 bf90829ef13a4e9fa1794bf0a88f4033 Mon 2018-02-26 17:45:12 MST—Wed 2018-02-28 
-11 fb879a836c7c459ab27f6332bee6013b Wed 2018-02-28 03:56:29 MST—Wed 2018-02-28 
-10 b0fec230765046f5bf3d654db1dc13ee Wed 2018-02-28 20:03:15 MST—Thu 2018-03-01 
 -9 72a2d6789eab4396be16348d9ead0408 Thu 2018-03-01 03:58:25 MST—Fri 2018-03-02 
 -8 8bccdc9b16124d26af05c34c8a30a0f5 Fri 2018-03-02 16:54:36 MST—Sat 2018-03-03 
 -7 40c2875db30349f5a9b1dfc849a47c05 Sat 2018-03-03 10:03:48 MST—Sat 2018-03-03 
 -6 781c79d2ec7946afba0fa2300e8ebe56 Sat 2018-03-03 10:04:34 MST—Sat 2018-03-03 
 -5 bb66dc875e414021940b7233072516d2 Sat 2018-03-03 17:43:08 MST—Tue 2018-03-06 
 -4 ba3bcfdc71584757b8bef9df16e7b0f6 Tue 2018-03-06 16:56:36 MST—Tue 2018-03-06 
 -3 60faa0fda99a4ef4b14b73c412d69e50 Tue 2018-03-06 17:00:47 MST—Tue 2018-03-06 
 -2 9b317bb8403344ca84dd2f288bc90410 Tue 2018-03-06 17:02:15 MST—Tue 2018-03-06 
 -1 dcb126be665a4531aae4312af7e51a34 Tue 2018-03-06 17:09:00 MST—Tue 2018-03-06 
  0 6a105af650d5442a9b03004165e58adf Tue 2018-03-06 17:42:45 MST—Wed 2018-03-07 

Performa meningkat

Waktu untuk memverifikasi journalctlintegritas terasa lebih cepat:

journalctl memverifikasi 2.png

Waktu telah berkurang dari 10 detik menjadi 4 detik.

Penghargaan untuk Sumber ini


Solusi Jangka Panjang

Saya telah menciptakan cronpekerjaan untuk menjalankan penyedot debu sebulan sekali.

Pilihan lain seperti yang disebutkan dalam komentar adalah untuk set SystemMaxUse=50Mdi /etc/systemd/journald.conf. Sebenarnya ada empat tempat berbeda yang dapat Anda atur opsi:

/etc/systemd/journald.conf
/etc/systemd/journald.conf.d/*.conf
/run/systemd/journald.conf.d/*.conf
/usr/lib/systemd/journald.conf.d/*.conf

Sebenarnya ada banyak opsi yang dapat Anda gunakan untuk tujuan serupa:

SystemMaxUse=, SystemKeepFree=, SystemMaxFileSize=, SystemMaxFiles=, RuntimeMaxUse=, RuntimeKeepFree=, RuntimeMaxFileSize=, RuntimeMaxFiles=
WinEunuuchs2Unix
sumber
5
Ini adalah perbaikan sementara, bukan solusi permanen. Anda harus menyebutkan /etc/systemd/journald.confSystemMaxUse=50M
phiresky
@phiresky Terima kasih telah menunjukkan ini. Saya sudah memperbarui jawabannya.
WinEunuuchs2Unix
2

Anda dapat menginstruksikan jurnalctl untuk menampilkan jumlah barang yang lebih sedikit. Ada berbagai cara untuk melakukan ini, seperti:

  • -u [unit]atau --unit=[unit]: ini memberitahu journalctl untuk hanya menampilkan log dari unit systemd. Anda bisa, misalnya, mengetik journalctl -u NetworkManager.service, dan Anda akan mendapatkan log dari NetworkManager.
  • -s [time]atau --since=[time]: Ini memberitahu jurnalctl untuk mengabaikan entri dari sebelum waktu tertentu, ditetapkan sebagai yyyy-mm-dd hh:mm:ss. Jika Anda ingin meninggalkan waktu, jurnalctl akan menggunakan 00:00:00. Juga, jika Anda meninggalkan tanggal, jurnalctl akan menggunakan tanggal saat ini. Berikut ini adalah contoh, diambil dari halaman manual: journalctl -s 2012-10-30 18:17:16.
  • -U [time]atau --until=[time]: ini sangat mirip dengan di atas, kecuali itu menghilangkan entri dari setelah daripada waktu yang ditentukan. Argumen dan sintaksinya sama.
  • -n [x]atau --lines [x]: membatasi jumlah jalur keluaran, di mana "x" adalah bilangan bulat. Jika Anda mengetik journalctl -n 12, hanya dua belas log terbaru yang akan ditampilkan.

Anda juga dapat mengurangi jumlah data yang disimpan, tetapi WinEunuuchs2Unix sudah menunjukkan itu, jadi saya tidak akan membuang waktu mengulangi informasi itu.

TSJNachos117
sumber
Sepertinya journalctlmemiliki banyak pilihan dan seseorang harus menulis zenityatau yadfront end dengan menu drop-down GUI dan tombol radio / kotak centang untuk difilter. Saya agak tergoda sendiri. +1 meskipun jawaban menyimpang dari semangat pertanyaan :)
WinEunuuchs2Unix