logo标签列表

Systemd日志(`journalctl`)太大且速度慢。

command-lineperformancedisk-usagesystemdsystemd-journald
我的 journalctl 日志文件占用了超过 300 MB 的空间,通过 journalctl --disk-usage 命令可以看到。当我运行 journalctl --verify 命令时,一切似乎都正常。
$ journalctl --disk-usage
Archived and active journals take up 328.0M on disk.

$ journalctl --verify
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/system.journal    
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-65534.journal
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/system@02f1aae76e32467390ab88ba03ae559e-0000000000000001-00056515dbdcd67e.journal
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-1000.journal 
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-65534@9838f64d6ee047bebec9d30d329064d4-00000000000005bb-00056515dbfe8d9d.journal

我注意到当我从journalctl管道到grep时,系统变得非常慢。
我应该如何合理地减小journalctl中保存的内容大小?

Original .GIF image

300M不算什么... 今天我又遇到了一个有2.2G日志的虚拟机。默认设置太疯狂了。 - Alexis Wilke
2个回答

systemd带有一个很棒的吸尘器

为了限制日志文件的大小,systemd提供了一个vacuum功能,可以从日志文件中“吸出”旧信息。允许使用的参数有:

 --vacuum-size=BYTES   Reduce disk usage below specified size
 --vacuum-files=INT    Leave only the specified number of journal files
 --vacuum-time=TIME    Remove journal files older than specified time

例如,要将312 MB的消耗减少到200 MB(或更少),请使用以下方法:
$ sudo journalctl --vacuum-size=200M
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/system@00056515dbdd9a4e-a6fe2ec77e516045.journal~ (56.0M).
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-65534@00056515dbfe731d-b7bab56cb4efcbf6.journal~ (8.0M).
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-1000@1bbb77599cf14c65a18af51646751696-000000000000064f-00056444d58433e1.journal (112.0M).
Vacuuming done, freed 176.0M of archived journals on disk.

节省的磁盘空间

journalctl 的大小大幅减小:

$ journalctl --disk-usage
Archived and active journals take up 136.0M on disk.

大小从312 MB减少到136 MB,节省了176 MB,比预期多了64 MB。这可能是由于一个异常大的单个日志文件造成的一次性异常情况。如果有新的信息出现,我会在一个月后修改这个答案。
启动日志减少 journalctl启动日志的数量从32个减少到26个。
$ journalctl --list-boots
-26 0f230cc546fd4aec8f5233e0074ab3e1 Tue 2018-02-13 03:57:20 MST—Wed 2018-02-14 
-25 c0d2c0141dd840cbab75d3c2254f8781 Wed 2018-02-14 22:59:13 MST—Sat 2018-02-17 
-24 aafb2573a6374e019a7165cb8eee74a0 Sun 2018-02-18 06:02:03 MST—Mon 2018-02-19 
-23 8462f1969c6f4d61973e7e245014b846 Mon 2018-02-19 04:16:53 MST—Sat 2018-02-24 
-22 7f71ac2fb9714c49aa05989b741655f2 Sat 2018-02-24 04:24:36 MST—Sat 2018-02-24 
-21 b12a48c363474e5fb39311a166a98d54 Sat 2018-02-24 04:28:09 MST—Sun 2018-02-25 
-20 fbef1e659de64a0cbdcb9994f5a39457 Sun 2018-02-25 17:48:20 MST—Mon 2018-02-26 
-19 3d9b4c10f98d4ef7aab1cb2baa9b74e1 Mon 2018-02-26 08:37:01 MST—Mon 2018-02-26 
-18 4412b117dcc648aa9eceabcd0f205207 Mon 2018-02-26 08:38:00 MST—Mon 2018-02-26 
-17 f6794cbb7fb24213a6f2c3e368f666a1 Mon 2018-02-26 08:39:12 MST—Mon 2018-02-26 
-16 472f968506ed446ab12cf7abc65fa81a Mon 2018-02-26 08:49:37 MST—Mon 2018-02-26 
-15 d575c609d82e4ecd8dcebb70d40160d7 Mon 2018-02-26 17:07:36 MST—Mon 2018-02-26 
-14 878cfd9239a84dae80c62e7413c72951 Mon 2018-02-26 17:24:54 MST—Mon 2018-02-26 
-13 7f9913c7dbff46ab9bbd7c2cbefc4d7d Mon 2018-02-26 17:35:19 MST—Mon 2018-02-26 
-12 bf90829ef13a4e9fa1794bf0a88f4033 Mon 2018-02-26 17:45:12 MST—Wed 2018-02-28 
-11 fb879a836c7c459ab27f6332bee6013b Wed 2018-02-28 03:56:29 MST—Wed 2018-02-28 
-10 b0fec230765046f5bf3d654db1dc13ee Wed 2018-02-28 20:03:15 MST—Thu 2018-03-01 
 -9 72a2d6789eab4396be16348d9ead0408 Thu 2018-03-01 03:58:25 MST—Fri 2018-03-02 
 -8 8bccdc9b16124d26af05c34c8a30a0f5 Fri 2018-03-02 16:54:36 MST—Sat 2018-03-03 
 -7 40c2875db30349f5a9b1dfc849a47c05 Sat 2018-03-03 10:03:48 MST—Sat 2018-03-03 
 -6 781c79d2ec7946afba0fa2300e8ebe56 Sat 2018-03-03 10:04:34 MST—Sat 2018-03-03 
 -5 bb66dc875e414021940b7233072516d2 Sat 2018-03-03 17:43:08 MST—Tue 2018-03-06 
 -4 ba3bcfdc71584757b8bef9df16e7b0f6 Tue 2018-03-06 16:56:36 MST—Tue 2018-03-06 
 -3 60faa0fda99a4ef4b14b73c412d69e50 Tue 2018-03-06 17:00:47 MST—Tue 2018-03-06 
 -2 9b317bb8403344ca84dd2f288bc90410 Tue 2018-03-06 17:02:15 MST—Tue 2018-03-06 
 -1 dcb126be665a4531aae4312af7e51a34 Tue 2018-03-06 17:09:00 MST—Tue 2018-03-06 
  0 6a105af650d5442a9b03004165e58adf Tue 2018-03-06 17:42:45 MST—Wed 2018-03-07

性能改进
验证 journalctl 完整性的时间明显更快:

journalctl verify 2.png

时间已从10秒减少到4秒。

感谢这个来源

长期解决方案

我创建了一个作业,每月运行一次吸尘器。

另一个选项是在评论中提到,在/etc/systemd/journald.conf文件中设置SystemMaxUse=50M。实际上,您可以在四个不同的位置设置此选项:

/etc/systemd/journald.conf
/etc/systemd/journald.conf.d/*.conf
/run/systemd/journald.conf.d/*.conf
/usr/lib/systemd/journald.conf.d/*.conf

实际上,你可以使用许多选择来达到类似的目标:

SystemMaxUse=, SystemKeepFree=, SystemMaxFileSize=, SystemMaxFiles=, RuntimeMaxUse=, RuntimeKeepFree=, RuntimeMaxFileSize=, RuntimeMaxFiles=

重新加载配置文件:
$ sudo systemctl restart systemd-journald
39这只是一个临时的修复方法,而不是一个永久的解决方案。你应该在/etc/systemd/journald.conf中提到SystemMaxUse=50M - phiresky
1@phiresky 感谢你指出这个问题。我已经更新了答案。 - WinEunuuchs2Unix
1当然,现在你想要调查问题时,无法获取到之前的日志记录。如果日志文件被正确索引,它们的大小增加并不会导致速度变慢,这只是一个糟糕的文件格式而已。 - mikebabcock
你可以指示journalctl显示较少的内容。有多种方法可以做到这一点,例如:
  • -u [unit]--unit=[unit]:这告诉journalctl仅显示来自systemd单元的日志。例如,您可以输入journalctl -u NetworkManager.service,然后您将获得来自NetworkManager的日志。
  • -S [time]--since=[time]:这告诉journalctl忽略指定时间之前的任何条目,时间格式为yyyy-mm-dd hh:mm:ss。如果您想省略时间,journalctl将使用00:00:00,同样地,如果您省略了秒数,它将使用:00。此外,如果您省略了日期,journalctl将使用当前日期。以下是从man页面中摘录的示例:journalctl -S 2012-10-30 18:17:16
  • -U [time]--until=[time]:这与上述相似,只是它省略了指定时间之后的条目。参数和语法相同。
  • -n [x]--lines [x]:限制输出行数,其中"x"是一个整数。如果您输入journalctl -n 12,只会显示最近的十二个日志。
你也可以减少保留的数据量,但是WinEunuuchs2Unix已经指出了这一点,所以我不会浪费时间重复那些信息。
看起来journalctl有很多选项,应该有人写一个带有图形界面的zenityyad前端,包含下拉菜单、单选按钮和复选框来进行过滤。我自己也有点心动。尽管答案偏离了问题的本意,但还是给个赞+1 :) - WinEunuuchs2Unix
谢谢,journalctl 真的包含了所有你需要管理大量条目的工具。只是要补充一点,应该使用 -S 而不是 -s(即大写字母而不是小写字母),作为 --since 的缩写选项。 - Cheetaiean