Журнали Systemd (`journalctl`) занадто великі та повільні

20

Моє journalctlзберігає понад 300 МБ журналів, як було виявлено journalctl --disk-usage. Здається, все в порядку, коли я запускаю journalctl --verify:

$ journalctl --disk-usage
Archived and active journals take up 328.0M on disk.

$ journalctl --verify
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/system.journal    
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-65534.journal
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/system@02f1aae76e32467390ab88ba03ae559e-0000000000000001-00056515dbdcd67e.journal
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-1000.journal 
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-65534@9838f64d6ee047bebec9d30d329064d4-00000000000005bb-00056515dbfe8d9d.journal

Я помітив , як повільно система , коли труба , grepз journalctl.

Як я можу розумно зменшити розмір того, що зберігаю journalctl?

Оригінальне зображення у форматі GIF

command-line  performance  disk-usage  systemd  systemd-journald 
WinEunuuchs2Unix
джерело

Відповіді:

29

systemd поставляється з витонченим пилососом

Обмеження файлів журналу певним розміром systemdпередбачає vacuumможливість "висмоктувати" старіші дані з файлів журналів. Дозволені параметри:

 --vacuum-size=BYTES   Reduce disk usage below specified size
 --vacuum-files=INT    Leave only the specified number of journal files
 --vacuum-time=TIME    Remove journal files older than specified time

Наприклад, щоб зменшити споживання 312 Мб до 200 Мб (або менше):

$ journalctl --vacuum-size=200M
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/system@00056515dbdd9a4e-a6fe2ec77e516045.journal~ (56.0M).
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-65534@00056515dbfe731d-b7bab56cb4efcbf6.journal~ (8.0M).
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-1000@1bbb77599cf14c65a18af51646751696-000000000000064f-00056444d58433e1.journal (112.0M).
Vacuuming done, freed 176.0M of archived journals on disk.

Місце на диску збережено

journalctlРозмір значно знижується:

$ journalctl --disk-usage
Archived and active journals take up 136.0M on disk.

Розмір зменшився з 312 МБ до 136 МБ, економія на 176 МБ і на 64 Мб більше, ніж очікувалося. Це, мабуть, разова аномалія через надзвичайно великий файл одного журналу. Я перегляну цю відповідь через місяць, якщо з’явиться нова інформація.

Журнали завантаження зменшено

Кількість journalctlжурналів завантаження становила 32, але зараз вона скорочується до 26:

$ journalctl --list-boots
-26 0f230cc546fd4aec8f5233e0074ab3e1 Tue 2018-02-13 03:57:20 MST—Wed 2018-02-14 
-25 c0d2c0141dd840cbab75d3c2254f8781 Wed 2018-02-14 22:59:13 MST—Sat 2018-02-17 
-24 aafb2573a6374e019a7165cb8eee74a0 Sun 2018-02-18 06:02:03 MST—Mon 2018-02-19 
-23 8462f1969c6f4d61973e7e245014b846 Mon 2018-02-19 04:16:53 MST—Sat 2018-02-24 
-22 7f71ac2fb9714c49aa05989b741655f2 Sat 2018-02-24 04:24:36 MST—Sat 2018-02-24 
-21 b12a48c363474e5fb39311a166a98d54 Sat 2018-02-24 04:28:09 MST—Sun 2018-02-25 
-20 fbef1e659de64a0cbdcb9994f5a39457 Sun 2018-02-25 17:48:20 MST—Mon 2018-02-26 
-19 3d9b4c10f98d4ef7aab1cb2baa9b74e1 Mon 2018-02-26 08:37:01 MST—Mon 2018-02-26 
-18 4412b117dcc648aa9eceabcd0f205207 Mon 2018-02-26 08:38:00 MST—Mon 2018-02-26 
-17 f6794cbb7fb24213a6f2c3e368f666a1 Mon 2018-02-26 08:39:12 MST—Mon 2018-02-26 
-16 472f968506ed446ab12cf7abc65fa81a Mon 2018-02-26 08:49:37 MST—Mon 2018-02-26 
-15 d575c609d82e4ecd8dcebb70d40160d7 Mon 2018-02-26 17:07:36 MST—Mon 2018-02-26 
-14 878cfd9239a84dae80c62e7413c72951 Mon 2018-02-26 17:24:54 MST—Mon 2018-02-26 
-13 7f9913c7dbff46ab9bbd7c2cbefc4d7d Mon 2018-02-26 17:35:19 MST—Mon 2018-02-26 
-12 bf90829ef13a4e9fa1794bf0a88f4033 Mon 2018-02-26 17:45:12 MST—Wed 2018-02-28 
-11 fb879a836c7c459ab27f6332bee6013b Wed 2018-02-28 03:56:29 MST—Wed 2018-02-28 
-10 b0fec230765046f5bf3d654db1dc13ee Wed 2018-02-28 20:03:15 MST—Thu 2018-03-01 
 -9 72a2d6789eab4396be16348d9ead0408 Thu 2018-03-01 03:58:25 MST—Fri 2018-03-02 
 -8 8bccdc9b16124d26af05c34c8a30a0f5 Fri 2018-03-02 16:54:36 MST—Sat 2018-03-03 
 -7 40c2875db30349f5a9b1dfc849a47c05 Sat 2018-03-03 10:03:48 MST—Sat 2018-03-03 
 -6 781c79d2ec7946afba0fa2300e8ebe56 Sat 2018-03-03 10:04:34 MST—Sat 2018-03-03 
 -5 bb66dc875e414021940b7233072516d2 Sat 2018-03-03 17:43:08 MST—Tue 2018-03-06 
 -4 ba3bcfdc71584757b8bef9df16e7b0f6 Tue 2018-03-06 16:56:36 MST—Tue 2018-03-06 
 -3 60faa0fda99a4ef4b14b73c412d69e50 Tue 2018-03-06 17:00:47 MST—Tue 2018-03-06 
 -2 9b317bb8403344ca84dd2f288bc90410 Tue 2018-03-06 17:02:15 MST—Tue 2018-03-06 
 -1 dcb126be665a4531aae4312af7e51a34 Tue 2018-03-06 17:09:00 MST—Tue 2018-03-06 
  0 6a105af650d5442a9b03004165e58adf Tue 2018-03-06 17:42:45 MST—Wed 2018-03-07

Продуктивність покращилася

Час перевірки journalctlцілісності помітно швидше:

journalctl verify 2.png

Час скоротився з 10 секунд до 4 секунд.

Заслуга цього джерела

Довгострокові рішення

Я створив cronроботу, щоб запустити пилосос раз на місяць.

Інший варіант , як зазначено в коментарях , щоб встановити SystemMaxUse=50Mв /etc/systemd/journald.conf. Насправді можна встановити чотири різні місця:

/etc/systemd/journald.conf
/etc/systemd/journald.conf.d/*.conf
/run/systemd/journald.conf.d/*.conf
/usr/lib/systemd/journald.conf.d/*.conf

Насправді існує багато варіантів, які можна використовувати для подібних цілей:

SystemMaxUse=, SystemKeepFree=, SystemMaxFileSize=, SystemMaxFiles=, RuntimeMaxUse=, RuntimeKeepFree=, RuntimeMaxFileSize=, RuntimeMaxFiles=
WinEunuuchs2Unix
джерело
5
Це тимчасове виправлення, а не постійне рішення. Ви повинні згадати SystemMaxUse=50M
/etc/systemd/journald.conf
@phiresky Дякую, що вказали на це. Я оновив відповідь.
WinEunuuchs2Unix
2

Ви можете доручити journalctl відображати меншу кількість речей. Існують різні способи цього, наприклад:

  • -u [unit]або --unit=[unit]: це повідомляє journalctl відображати лише журнали із системного блоку. Наприклад, ви можете ввести journalctl -u NetworkManager.service, і ви отримаєте журнали від NetworkManager.
  • -s [time]або --since=[time]: Це повідомляє journalctl ігнорувати будь-які записи за певний час, вказані як yyyy-mm-dd hh:mm:ss. Якщо ви хочете викарбувати час, журнал журналу використовує 00:00:00. Крім того, якщо ви не залишите дату, journalctl використовуватиме поточну дату. Ось приклад, взятий зі сторінки людини: journalctl -s 2012-10-30 18:17:16.
  • -U [time]або --until=[time]: це досить схоже на вищезазначене, за винятком того, що воно не записує записи після закінчення зазначеного часу. Аргументи та синтаксис однакові.
  • -n [x]або --lines [x]: обмежує кількість вихідних рядків, де "х" - ціле число. Якщо ви введете journalctl -n 12, буде показано лише дванадцять останніх журналів.

Ви також можете зменшити кількість збережених даних, але WinEunuuchs2Unix вже вказав на це, тому я не витрачаю час на повторення цієї інформації.

TSJNachos117
джерело
Схоже journalctl, існує безліч варіантів, і хтось повинен написати zenityабо yadпередній кінець з меню, що випадає, графічним інтерфейсом та радіо кнопками / прапорцями для фільтрації. Я себе спокусив. +1, незважаючи на те, що відповідь відганяє дух питання :)
WinEunuuchs2Unix
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.