systemdジャーナルを使用した一時的な問題のトラブルシューティング

問題の特定は科学と同じくらい芸術である可能性があり、時には少しの魔法でも役立つように思われます。報告された障害を再現できない状況に誰もが遭遇しました。これは、ユーザーとシステム管理者の両方にとって常に苛立たしいことです。家電製品や自動車でさえ、サービスマンが現れたときに頑固で失敗を拒否する可能性があります。

擬人化はさておき、システム管理者には、Linuxコンピューターで何が起こっているかをさまざまな粒度で表示できるツールがいくつかあります。 top、htop、glances、sar、iotop、tcpdump、traceroute、mtr、iptraf-ng、df、duなどのツールがあり、それらはすべてホストの現在の状態を表示でき、そのうちのいくつかはログを生成できますさまざまな詳細レベルの

これらのツールを使用して進行中の問題を見つけることはできますが、一時的な問題や直接観察できる症状がない問題には特に役立ちません。少なくとも、重大で壊滅的な問題が発生するまでは観察できません。

私が問題判別に使用する重要なツールは、システムログであり、systemdではシステムジャーナルです。 systemdジャーナルは、問題を解決するときに私が最初に利用するツールの1つです。特に、私が見ているときに発生しないように見える問題です。 sysadminのキャリアの初めに、ログファイルの豊富な情報を理解するのに長い時間がかかりました。この発見により、問題の解決速度が大幅に向上しました。

journalctlのいくつかの使用法はすでに見てきました。このシリーズの以前の記事の多くでコマンドを実行します。この記事では、systemdジャーナル、その仕組み、および journalctlの使用方法について詳しく説明します。問題を見つけて特定するため。

ジャーナルについて

ログまたはジャーナルの目的は、ホスト上で実行されるサービスおよびプログラムの通常のアクティビティの時系列の履歴を維持し、発生したエラーまたは警告メッセージを記録することです。ログメッセージは、 / var / logの個別のファイルに保持されていました。、通常はカーネル用に1つのファイルで、ホストで実行されているほとんどのサービス用に別々のファイルです。残念ながら、ログファイルの数が多いと、必要な情報が拡散し、問題の根本原因の発見が遅れる可能性があります。エラーが発生したときにシステムで何が起こっていたかを判断しようとすると、これは特に時間がかかる可能性があります。

古い/var / log / dmesg ファイルは通常カーネルに使用されていましたが、そのファイルは数年前に廃止され、 dmesgを使用するようになりました。同じ情報を表示し、それらのメッセージ（およびそれ以上）を / var / log / messagesに統合するコマンドファイル。この他のログのメッセージへのマージファイルは、多くのデータを1つのファイルに保持することで問題の特定をスピードアップしましたが、ログがより中心的なメッセージに統合されていないサービスはまだたくさんありました。ファイル。

systemdジャーナルは、すべてのメッセージを単一の統一された構造に収集するように設計されており、特定の時間またはイベントの前後にシステムで発生したすべての全体像を示すことができます。イベントは、ソースに関係なく、1つの場所に時系列で存在するため、特定の時点または時間範囲で発生しているすべてのものを一目で確認できます。私の意見では、これはシステム化されたジャーナリングの主な利点の1つです。

systemdジャーナルについて

systemdジャーナリングサービスはsystemd-journaldによって実装されますデーモン。 systemd-journaldによるとマニュアルページ：

systemd-journald は、ログデータを収集して保存するシステムサービスです。さまざまなソースから受け取ったログ情報に基づいて、構造化されたインデックス付きのジャーナルを作成および維持します。

kmsg経由のカーネルログメッセージ

libc syslog（3）を介した単純なシステムログメッセージ電話

ネイティブJournalAPIを介した構造化システムログメッセージ。sd_journal_print（3）を参照してください。

サービスユニットの標準出力と標準エラー。詳細については、以下をご覧ください。

カーネル監査サブシステムから発信された監査レコード

デーモンは、安全で偽造できない方法で、ログメッセージごとに多数のメタデータフィールドを暗黙的に収集します。 systemd.journal-fields（7）を参照してください収集されたメタデータの詳細については、をご覧ください。

ジャーナルによって収集されるログデータは主にテキストベースですが、必要に応じてバイナリデータを含めることもできます。ジャーナルに保存されるログレコードを構成する個々のフィールドのサイズは、最大2^64-1バイトです。

構成の変更

その他のLinuxリソース

Linuxコマンドのチートシート
高度なLinuxコマンドのチートシート
無料のオンラインコース：RHELの技術概要
Linuxネットワーキングのチートシート
SELinuxチートシート
Linuxの一般的なコマンドのチートシート
Linuxコンテナとは何ですか？
最新のLinux記事

systemdジャーナルデーモンは、 /etc/systemd/journald.confを使用して構成できます。ファイル。多くのホストでは、デフォルトが非常に合理的であるため、このファイルを変更する必要はありません。 journald.confを見てくださいまだ提出していない場合は、今すぐ提出してください。

検討する可能性のある最も一般的な構成の変更は、最大ジャーナルファイルサイズ、古いジャーナルファイルの数、および最大ファイル保持時間を指定することです。これらの変更を行う主な理由は、小さなストレージデバイスを使用している場合に、ジャーナルが使用するストレージスペースを減らすことです。ミッションクリティカルな環境では、RAMメモリに保存されているジャーナルデータをストレージデバイスに同期するまでの時間を短縮することもできます。

journald.conf マニュアルページに詳細があります。

データ形式に関する論争

systemdを取り巻く論争の1つは、ジャーナルの内容が格納されるバイナリ形式です。 systemdに対するいくつかの議論は、バイナリ形式で保存されているsystemdジャーナルに基づいています。これは、データにASCIIテキストを使用するというUnix / Linuxの哲学に反しているように思われます。これは、systemdが嫌いなことを正当化するために人々が使用する1つの引数です。たとえば、パイプの発明者であるDoug McIlroyは、次のように述べています。

「これはUnixの哲学です。1つのことをうまく行うプログラムを書いてください。一緒に動作するプログラムを書いてください。それは普遍的なインターフェースなので、テキストの流れを処理するプログラムを書いてください。」 —ダグ・マキルロイ、エリックS.レイモンドの著書 The Art of Unix Programming で引用

ただし、これらの議論は、少なくとも部分的な誤解に基づいているようです。これは、manページに、データが「主にテキストベース」であると明確に記載されているためです。 Linuxカーネルの作成者であるLinusTorvaldsは、自分の気持ちを常に明確にしています。

「実際、systemd自体について特に強い意見はありません。コア開発者の中には、バグや互換性についてあまりにも大げさだと思う問題があり、設計の詳細のいくつかは非常識だと思います（私はたとえば、バイナリログは嫌いです）が、これらは詳細であり、大きな問題ではありません。」 —2014年にZDNetの「Linuxのsystemd上のLinusTorvaldsおよびその他」で引用されたLinusTorvalds

systemdジャーナルファイルは、 / var / log / journalの1つ以上のサブディレクトリに保存されます。。 rootアクセス権を持つテストシステムにログインし、 / var / log / journalを作成します現在の作業ディレクトリ（PWD）。そこにサブディレクトリをリストし、1つを選択して、それをPWDにします。これらのファイルはさまざまな方法で確認できます。 statから始めましたコマンド（ホスト上のジャーナルファイル名は私のものとは異なることに注意してください）：

[root@testvm1 3bccd1140fca488187f8a1439c832f07]# stat system@7ed846aadf1743139083681ec4042037-0000000000000001-0005a99c0280fd5f.journal

  File: system@7ed846aadf1743139083681ec4042037-0000000000000001-0005a99c0280fd5f.journal

  Size: 8388608         Blocks: 16392      IO Block: 4096   regular file

Device: fd04h/64772d    Inode: 524384      Links: 1

Access: (0640/-rw-r-----)  Uid: (    0/    root)   Gid: (  190/systemd-journal)

Access: 2020-07-13 08:30:05.764291231 -0400

Modify: 2020-07-04 07:33:52.916001110 -0400

Change: 2020-07-04 07:33:52.916001110 -0400

 Birth: -

[root@testvm1 3bccd1140fca488187f8a1439c832f07]#

ジャーナルファイルは「通常の」ファイルとして識別されますが、これは特に役に立ちません。 ファイル コマンドはそれを「ジャーナル」ファイルとして識別しますが、あなたはすでにそれを知っています。 ddを使用してファイル内を確認します指図。次のコマンドは、出力データストリームをSTDOUTに送信します。 lessを介してパイプすることをお勧めしますポケットベル：

[root@testvm1 3bccd1140fca488187f8a1439c832f07]# dd if=system@7ed846aadf1743139083681ec4042037-0000000000000001-0005a99c0280fd5f.journal | less

<SNIP>

9�P1�8��9_SOURCE_MONOTONIC_TIMESTAMP=191726���/��P����9MESSAGE=Inode-cache hash table entries: 1048576 (order: 11, 8388608 bytes, linear)�hx

9�P1�p�9��/��P�b������9��9_SOURCE_MONOTONIC_TIMESTAMP=191825�pdXY�7p�9��9MESSAGE=mem auto-init: stack:off, heap alloc:off, heap free:off�i��

��(n�O���@Y�    �����Zս���82���7X�8�������8��ǱR�����8<~B�4�<� �8tM˞8$����8��Ж��h9�&������9�����`@�9�pdXY�7b�ͺ��WV��9��9_SOURCE_MONOTONIC_TIM

ESTAMP=234745����4�h@�9��9MESSAGE=Memory: 12598028K/12963384K available (14339K kernel code, 2406K rwdata, 8164K rodata, 2468K init, 5072K b

ss, 365356K reserved, 0K cma-reserved)�j����(n�O���@Y�  ����]��m�82���7X�8�������8��ǱR�����8<~B�4�<� �8tM˞8$����8��Ж��h9�&�����9�ͺ��WV��9���

4�hbB���a��^��9��9_SOURCE_MONOTONIC_TIMESTAMP=234758��3�����9��9MESSAGE=random: get_random_u64 called from __kmem_cache_create+0x3e/0x610 wi

th crng_init=0�k���(n�O���@Y�   ����j������82���7X��8C�X�Y"��8�������8��ǱR�����8<~B�4�<� �8tM˞8$����8��Ж�à�9B���a���9�3���b�8�ȭ�����9h�9_SO�9h�9MESSAGE=SLUB: HWalign=64, Order=0-3, MinObjects=0, CPUs=4, Nodes=1�l����(n�O���@Y�  ������z��X�82���7X�8�������8��ǱR�����8<~B�4�<� �8tM˞

b�(+I)�x�9�9_SOURCE_MONOTONIC_TIMESTAMP=235444r�%/p��9�9MESSAGE=Kernel/User page tables isolation: enabled�m����(n�O���@Y�     ����k��B0��8

2���7X�8�������8��ǱR�����8<~B�4�<� �8tM˞8$����8��Ж��h9�&����8�9�(+I)Ҡ�9�%/pb8O{ W���8�9��9_SOURCE_MONOTONIC_TIMESTAMP=235464u�N`�FP    M��9

��9MESSAGE=ftrace: allocating 41361 entries in 162 pages�n����(n�O���@Y�

<SNIP>

ddからのデータストリームのこの小さな部分でさえコマンドは、ASCIIテキストとバイナリデータの興味深い混合を示しています。もう1つの便利なツールはstringsですコマンド。ファイルに含まれるすべてのASCIIテキスト文字列を表示し、バイナリデータを無視します。

[root@testvm1 3bccd1140fca488187f8a1439c832f07]# strings system@7ed846aadf1743139083681ec4042037-0000000000000001-0005a99c0280fd5f.journal

<SNIP>

MESSAGE=Linux version 5.7.6-201.fc32.x86_64 ([email protected]) (gcc version 10.1.1 20200507 (Red Hat 10.1.1-1) (GC

C), GNU ld version 2.34-3.fc32) #1 SMP Mon Jun 29 15:15:52 UTC 2020

MESSAGE

_BOOT_ID=6e944f99ebd9405984090f829a927fa4

_BOOT_ID

_MACHINE_ID=3bccd1140fca488187f8a1439c832f07

_MACHINE_ID

_HOSTNAME=testvm1.both.org

_HOSTNAME

PRIORITY=6

MESSAGE=Command line: BOOT_IMAGE=(hd0,msdos1)/vmlinuz-5.7.6-201.fc32.x86_64 root=/dev/mapper/VG01-root ro resume=/dev/mapper/VG01-swap rd.lv

m.lv=VG01/root rd.lvm.lv=VG01/swap rd.lvm.lv=VG01/usr selinux=0

MESSAGE=x86/fpu: Supporting XSAVE feature 0x001: 'x87 floating point registers'

MESSAGE=x86/fpu: Supporting XSAVE feature 0x002: 'SSE registers'

MESSAGE=x86/fpu: Supporting XSAVE feature 0x004: 'AVX registers'

Z_g3;

MESSAGE=x86/fpu: xstate_offset[2]:  576, xstate_sizes[2]:  256

Z_g3;

MESSAGE=x86/fpu: Enabled xstate features 0x7, context size is 832 bytes, using 'standard' format.

MESSAGE=BIOS-provided physical RAM map:

`k2X

MESSAGE=BIOS-e820: [mem 0x0000000000000000-0x000000000009fbff] usable

MESSAGE=BIOS-e820: [mem 0x000000000009fc00-0x000000000009ffff] reserved

MESSAGE=BIOS-e820: [mem 0x00000000000f0000-0x00000000000fffff] reserved

PyLM

MESSAGE=BIOS-e820: [mem 0x0000000000100000-0x00000000dffeffff] usable

MESSAGE=BIOS-e820: [mem 0x00000000dfff0000-0x00000000dfffffff] ACPI data

MESSAGE=BIOS-e820: [mem 0x00000000fec00000-0x00000000fec00fff] reserved

MESSAGE=BIOS-e820: [mem 0x00000000fee00000-0x00000000fee00fff] reserved

MESSAGE=BIOS-e820: [mem 0x00000000fffc0000-0x00000000ffffffff] reserved

MESSAGE=BIOS-e820: [mem 0x0000000100000000-0x00000003373fffff] usable

<SNIP>

このデータは人間が解釈でき、この特定のセグメントは dmesgからの出力データストリームと非常によく似ています。指図。自分でさらに詳しく調べることにしますが、私の結論は、ジャーナルファイルは明らかにバイナリテキストとASCIIテキストの混合物であるということです。その組み合わせにより、従来のテキストベースのLinuxツールを使用して使用可能なデータを抽出するのが面倒になります。しかし、ジャーナルデータを抽出して表示するための多くの可能性を提供するより良い方法があります。

journalctlについて

journalctl コマンドは、目的のデータを識別するための強力で柔軟な基準を使用して、systemdジャーナルから使用可能な情報を抽出するように設計されています。このシリーズの以前の記事では、 journalctlについて説明しています。、そしてもっと知っておくべきことがあります。

以前の記事を読んでいない場合や、復習が必要な場合に備えて、最初に少し復習し、いくつかの基本から始めます。

journalctlを使用できますすべてのジャーナルおよびログ情報を含むsystemdジャーナルを表示するためのオプションまたは引数なしのコマンド：

[root@testvm1 ~]# journalctl

-- Logs begin at Mon 2020-06-08 07:47:20 EDT, end at Thu 2020-07-16 10:30:43 EDT. --

Jun 08 07:47:20 testvm1.both.org kernel: Linux version 5.6.6-300.fc32.x86_64 ([email protected]) (gcc version 10.0>

Jun 08 07:47:20 testvm1.both.org kernel: Command line: BOOT_IMAGE=(hd0,msdos1)/vmlinuz-5.6.6-300.fc32.x86_64 root=/dev/mapper/VG01-root ro >

Jun 08 07:47:20 testvm1.both.org kernel: x86/fpu: Supporting XSAVE feature 0x001: 'x87 floating point registers'

Jun 08 07:47:20 testvm1.both.org kernel: x86/fpu: Supporting XSAVE feature 0x002: 'SSE registers'

Jun 08 07:47:20 testvm1.both.org kernel: x86/fpu: Supporting XSAVE feature 0x004: 'AVX registers'

Jun 08 07:47:20 testvm1.both.org kernel: x86/fpu: xstate_offset[2]:  576, xstate_sizes[2]:  256

Jun 08 07:47:20 testvm1.both.org kernel: x86/fpu: Enabled xstate features 0x7, context size is 832 bytes, using 'standard' format.

Jun 08 07:47:20 testvm1.both.org kernel: BIOS-provided physical RAM map:

Jun 08 07:47:20 testvm1.both.org kernel: BIOS-e820: [mem 0x0000000000000000-0x000000000009fbff] usable

<SNIP>

Jul 16 09:51:00 testvm1.both.org NetworkManager[760]: <info>  [1594907460.1765] dhcp4 (enp0s3): option requested_routers    => '1'

Jul 16 09:51:00 testvm1.both.org NetworkManager[760]: <info>  [1594907460.1765] dhcp4 (enp0s3): option requested_static_routes => '1'

Jul 16 09:51:00 testvm1.both.org NetworkManager[760]: <info>  [1594907460.1765] dhcp4 (enp0s3): option requested_subnet_mask => '1'

Jul 16 09:51:00 testvm1.both.org NetworkManager[760]: <info>  [1594907460.1765] dhcp4 (enp0s3): option requested_time_offset => '1'

Jul 16 09:51:00 testvm1.both.org NetworkManager[760]: <info>  [1594907460.1766] dhcp4 (enp0s3): option requested_wpad       => '1'

Jul 16 09:51:00 testvm1.both.org NetworkManager[760]: <info>  [1594907460.1766] dhcp4 (enp0s3): option routers              => '192.168.0.2>

Jul 16 09:51:00 testvm1.both.org NetworkManager[760]: <info>  [1594907460.1766] dhcp4 (enp0s3): option subnet_mask          => '255.255.255>

Jul 16 09:51:00 testvm1.both.org NetworkManager[760]: <info>  [1594907460.1766] dhcp4 (enp0s3): state changed extended -> extended

Jul 16 09:51:00 testvm1.both.org systemd[1]: Starting Network Manager Script Dispatcher Service...

Jul 16 09:51:00 testvm1.both.org systemd[1]: Started Network Manager Script Dispatcher Service.

Jul 16 09:51:00 testvm1.both.org audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=NetworkManager-dispatcher com>

Jul 16 09:51:10 testvm1.both.org systemd[1]: NetworkManager-dispatcher.service: Succeeded.

Jul 16 09:51:10 testvm1.both.org audit[1]: SERVICE_STOP pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=NetworkManager-dispatcher comm>

Jul 16 09:59:13 testvm1.both.org systemd[1]: Starting dnf makecache...

Jul 16 09:59:13 testvm1.both.org audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=dnf-makecache comm="systemd" >

Jul 16 09:59:13 testvm1.both.org audit[1]: SERVICE_STOP pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=dnf-makecache comm="systemd" e>

Jul 16 09:59:13 testvm1.both.org systemd[1]: dnf-makecache.service: Succeeded.

Jul 16 09:59:13 testvm1.both.org systemd[1]: Finished dnf makecache.

Jul 16 09:59:14 testvm1.both.org dnf[378549]: Metadata cache refreshed recently.

Jul 16 10:00:42 testvm1.both.org systemd[1]: Starting system activity accounting tool...

Jul 16 10:00:42 testvm1.both.org systemd[1]: sysstat-collect.service: Succeeded.

Jul 16 10:00:42 testvm1.both.org audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=sysstat-collect comm="systemd>

Jul 16 10:00:42 testvm1.both.org systemd[1]: Finished system activity accounting tool.

Jul 16 10:00:42 testvm1.both.org audit[1]: SERVICE_STOP pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=sysstat-collect comm="systemd">

Jul 16 10:01:01 testvm1.both.org CROND[378562]: (root) CMD (run-parts /etc/cron.hourly)

Jul 16 10:01:01 testvm1.both.org run-parts[378565]: (/etc/cron.hourly) starting 0anacron

Jul 16 10:01:01 testvm1.both.org run-parts[378571]: (/etc/cron.hourly) finished 0anacron

同じデータをdmesgで明示的に表示することもできますコマンドが表示されます。隣り合った2つのターミナルセッションを開き、 dmesgを発行します一方のコマンドともう一方の次のコマンド：

[root@testvm1 ~]# journalctl --dmesg

表示される唯一の違いは、時間形式です。 dmesg コマンドは単調な形式で、システムの起動からの秒数を示します。 journalctl 出力は日付と時刻の形式です。 short-monotonicオプションは、起動からの時間を表示します：

[root@testvm1 ~]# journalctl --dmesg -o short-monotonic

-- Logs begin at Mon 2020-06-08 07:47:20 EDT, end at Mon 2020-07-20 13:01:01 EDT. --

[    0.000000] testvm1.both.org kernel: Linux version 5.7.6-201.fc32.x86_64 ([email protected]) (gcc version 10.1.>

[    0.000000] testvm1.both.org kernel: Command line: BOOT_IMAGE=(hd0,msdos1)/vmlinuz-5.7.6-201.fc32.x86_64 root=/dev/mapper/VG01-root ro r>

[    0.000000] testvm1.both.org kernel: x86/fpu: Supporting XSAVE feature 0x001: 'x87 floating point registers'

[    0.000000] testvm1.both.org kernel: x86/fpu: Supporting XSAVE feature 0x002: 'SSE registers'

[    0.000000] testvm1.both.org kernel: x86/fpu: Supporting XSAVE feature 0x004: 'AVX registers'

[    0.000000] testvm1.both.org kernel: x86/fpu: xstate_offset[2]:  576, xstate_sizes[2]:  256

[    0.000000] testvm1.both.org kernel: x86/fpu: Enabled xstate features 0x7, context size is 832 bytes, using 'standard' format.

<snip>

[    0.000002] testvm1.both.org kernel: clocksource: kvm-clock: mask: 0xffffffffffffffff max_cycles: 0x1cd42e4dffb, max_idle_ns: 8815905914>

[    0.000005] testvm1.both.org kernel: tsc: Detected 2807.988 MHz processor

[    0.001157] testvm1.both.org kernel: e820: update [mem 0x00000000-0x00000fff] usable ==> reserved

[    0.001159] testvm1.both.org kernel: e820: remove [mem 0x000a0000-0x000fffff] usable

[    0.001162] testvm1.both.org kernel: last_pfn = 0x24ec00 max_arch_pfn = 0x400000000

[    0.001172] testvm1.both.org kernel: MTRR default type: uncachable

[    0.001173] testvm1.both.org kernel: MTRR variable ranges disabled:

[    0.001173] testvm1.both.org kernel: Disabled

[    0.001174] testvm1.both.org kernel: x86/PAT: MTRRs disabled, skipping PAT initialization too.

[    0.001176] testvm1.both.org kernel: CPU MTRRs all blank - virtualized system.

[    0.001179] testvm1.both.org kernel: x86/PAT: Configuration [0-7]: WB  WT  UC- UC  WB  WT  UC- UC  

[    0.001182] testvm1.both.org kernel: last_pfn = 0xdfff0 max_arch_pfn = 0x400000000

[    0.001238] testvm1.both.org kernel: found SMP MP-table at [mem 0x0009fff0-0x0009ffff]

[    0.081068] testvm1.both.org kernel: RAMDISK: [mem 0x34194000-0x360c1fff]

[    0.081088] testvm1.both.org kernel: ACPI: Early table checksum verification disabled

<snip>

[   34.037575] testvm1.both.org kernel: 16:43:32.734466 main     6.1.10_Fedora r138449 started. Verbose level = 0

[   34.042209] testvm1.both.org kernel: 16:43:32.739032 main     vbglR3GuestCtrlDetectPeekGetCancelSupport: Supported (#1)

[   55.746944] testvm1.both.org kernel: e1000: enp0s3 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX

[   55.747738] testvm1.both.org kernel: IPv6: ADDRCONF(NETDEV_CHANGE): enp0s3: link becomes ready

<snip>

lines 624-681/681 (END)

journalctl コマンドには、 -oを含む多くのオプションがあります（出力）オプションには、さまざまな要件のセットを満たす時刻と日付の形式を選択できるいくつかのサブオプションがあります。 journalctl から拡張または変更した簡単な説明とともに、それらのほとんどを以下にリストしました。マニュアルページ。これらのほとんどの主な違いは、日付と時刻の形式であり、他の情報は同じままであることに注意してください。

journalctlの時刻と日付の形式

短い： これはデフォルトの形式であり、従来のsyslogファイルの形式に最も近い出力を生成し、ジャーナルエントリごとに1行を表示します。このオプションは、起動からの単調な時間、完全修飾ホスト名、カーネル、DHCPなどのユニット名を含むジャーナルメタデータを表示します。
```
Jul 20 08:43:01 testvm1.both.org kernel: Inode-cache hash table entries: 1048576 (order: 11, 8388608 bytes, linear)
```
ショートフル： この形式はデフォルトと非常に似ていますが、タイムスタンプを-since =の形式で表示しますおよび--until= オプションを受け入れます。短い出力モードで表示されるタイムスタンプ情報とは異なり、このモードでは、出力に曜日、年、およびタイムゾーンの情報が含まれ、ロケールに依存しません。
```
Mon 2020-06-08 07:47:20 EDT testvm1.both.org kernel: x86/fpu: Supporting XSAVE feature 0x004: 'AVX registers'
```
short-iso： short-iso形式はデフォルトと非常に似ていますが、ISO8601ウォールクロックタイムスタンプを表示します。
```
2020-06-08T07:47:20-0400 testvm1.both.org kernel: kvm-clock: Using msrs 4b564d01 and 4b564d00
```
short-iso-precise： この形式はshort-isoと同じですが、完全なマイクロ秒の精度が含まれています。 2020-06-08T07:47:20.223738-0400 testvm1.both.org kernel: Booting paravirtualized kernel on KVM

  短い単調：  デフォルトと非常に似ていますが、ウォールクロックタイムスタンプの代わりに単調なタイムスタンプが表示されます。
 [    2.091107] testvm1.both.org kernel: ata1.00: ATA-6: VBOX HARDDISK, 1.0, max UDMA/133
 
  短精度： この形式もデフォルトに似ていますが、完全なマイクロ秒の精度で従来のsyslogタイムスタンプを表示します。
 Jun 08 07:47:20.223052 testvm1.both.org kernel: BIOS-e820: [mem 0x000000000009fc00-0x000000000009ffff] reserved
 
   short-unix： デフォルトと同様ですが、ウォールクロックのタイムスタンプ（ "Unix時間"）の代わりに、1970年1月1日から経過した秒数（UTC）が表示されます。時間はマイクロ秒の精度で表示されます。
1591616840.232165 testvm1.both.org kernel: tcp_listen_portaddr_hash hash table entries: 8192
 
  猫： 非常に簡潔な出力を生成し、メタデータを含まず、タイムスタンプも含まない各ジャーナルエントリのメッセージのみを表示します。
 ohci-pci 0000:00:06.0: irq 22, io mem 0xf0804000
 
  詳細： この形式は、すべてのフィールドを持つすべてのエントリ項目の完全なデータ構造を示します。これは、他のすべてと最も異なるフォーマットオプションです。
 Mon 2020-06-08 07:47:20.222969 EDT [s=d52ddc9f3e8f434b9b9411be2ea50b1e;i=1;b=dcb6dcc0658e4a8d8c781c21a2c6360d;m=242d7f;t=5a7912c6148f9;x=8f>

    _SOURCE_MONOTONIC_TIMESTAMP=0

    _TRANSPORT=kernel

    PRIORITY=5

    SYSLOG_FACILITY=0

    SYSLOG_IDENTIFIER=kernel

    MESSAGE=Linux version 5.6.6-300.fc32.x86_64 ([email protected]) (gcc version 10.0.1 20200328 (Red Hat 10.0.1-0>

    _BOOT_ID=dcb6dcc0658e4a8d8c781c21a2c6360d

    _MACHINE_ID=3bccd1140fca488187f8a1439c832f07

    _HOSTNAME=testvm1.both.org

 
  -oで利用可能な他の選択肢 オプションで、バイナリやJSONなどのさまざまな形式でデータをエクスポートできるようにします。  -xも見つかりました 一部のジャーナルエントリの追加の説明メッセージを表示できるため、オプションが点灯します。このオプションを試す場合は、出力データストリームが大幅に増加する可能性があることに注意してください。たとえば、次のようなエントリの追加情報：
 [    4.503737] testvm1.both.org systemd[1]: Starting File System Check on /dev/mapper/VG01-root...

[    4.691555] testvm1.both.org systemd-fsck[548]: root: clean, 1813/327680 files, 48555/1310720 blocks

[    4.933065] testvm1.both.org systemd[1]: Finished File System Check on /dev/mapper/VG01-root.
 
 これに拡張します：
 [    4.503737] testvm1.both.org systemd[1]: Starting File System Check on /dev/mapper/VG01-root...

-- Subject: A start job for unit systemd-fsck-root.service has begun execution

-- Defined-By: systemd

-- Support: https://lists.freedesktop.org/mailman/listinfo/systemd-devel

-- 

-- A start job for unit systemd-fsck-root.service has begun execution.

-- 

-- The job identifier is 36.

[    4.691555] testvm1.both.org systemd-fsck[548]: root: clean, 1813/327680 files, 48555/1310720 blocks

[    4.933065] testvm1.both.org systemd[1]: Finished File System Check on /dev/mapper/VG01-root.

-- Subject: A start job for unit systemd-fsck-root.service has finished successfully

-- Defined-By: systemd

-- Support: https://lists.freedesktop.org/mailman/listinfo/systemd-devel

-- 

-- A start job for unit systemd-fsck-root.service has finished successfully.

-- 

-- The job identifier is 36
 
 ここにはいくつかの新しい情報がありますが、主な利点は、情報がコンテキスト化されて、元の簡潔なメッセージがある程度明確になることだと思います。
 検索を絞り込む 
 ほとんどの場合、すべてのジャーナルエントリを一覧表示して手動で検索する必要はなく、望ましくもありません。特定のサービスに関連するエントリを探す場合もあれば、特定の時間に発生したエントリを探す場合もあります。  journalctl  コマンドは、検索したいデータのみを表示できる強力なオプションを提供します。
 
 -list-bootsから始めます オプション。ジャーナルエントリが存在する期間中のすべてのブートを一覧表示します。  journalctl.confに注意してください ファイルは、ジャーナルエントリが特定の経過時間に達した後、またはジャーナルが使用するストレージデバイス（HDD / SSD）スペースが指定された最大量に達した後に破棄されることを指定する場合があります：
 [root@testvm1 ~]# journalctl --list-boots 

-10 dcb6dcc0658e4a8d8c781c21a2c6360d Mon 2020-06-08 07:47:20 EDT—Mon 2020-06-08 07:53:05 EDT

 -9 7d61951a85f445c5946774aaae8bc2a4 Fri 2020-07-03 15:50:06 EDT—Fri 2020-07-03 18:21:23 EDT

 -8 1b3a847577e544b4a2679fe576b62206 Fri 2020-07-03 18:21:58 EDT—Fri 2020-07-03 22:10:54 EDT

 -7 5fef01a3568743af99118107ca6f61ae Fri 2020-07-03 22:18:41 EDT—Sat 2020-07-04 06:50:19 EDT

 -6 6e944f99ebd9405984090f829a927fa4 Sat 2020-07-04 07:33:25 EDT—Sat 2020-07-04 07:58:59 EDT

 -5 ec8b0c81ca4744b1bad071bdef432959 Sat 2020-07-04 08:12:06 EDT—Sat 2020-07-04 09:12:47 EDT

 -4 cb173ec716824e21b87ccf6cb43a9a99 Sat 2020-07-04 10:19:53 EDT—Sat 2020-07-04 11:31:03 EDT

 -3 4fe354a893194409843aa9623a36dbb0 Sat 2020-07-04 07:59:58 EDT—Sun 2020-07-05 09:39:30 EDT

 -2 06fb81f1b29e4f68af9860844668446c Mon 2020-07-06 06:27:05 EDT—Mon 2020-07-13 08:50:06 EDT

 -1 33dbf8e6b9de4113a591c4f487d0ac37 Mon 2020-07-13 04:50:33 EDT—Thu 2020-07-16 13:49:32 EDT

  0 75c9b70913934748b5396b3b172bee50 Mon 2020-07-20 08:43:01 EDT—Fri 2020-07-24 12:44:06 EDT
 
 最新のブートIDが下部に表示されます。これは、長くてランダムな16進数です。このデータを使用して、特定のブートのジャーナルを表示できます。これは、左端の列のブートオフセット番号または2番目の列のUUIDを使用して指定できます。このコマンドは、オフセットが -2のブートインスタンスのジャーナルを表示します。 -現在のブートから2番目に前のブート：
 [root@testvm1 ~]# journalctl -b -2

-- Logs begin at Mon 2020-06-08 07:47:20 EDT, end at Fri 2020-07-24 12:44:06 EDT. --

Jul 06 06:27:05 testvm1.both.org kernel: Linux version 5.7.6-201.fc32.x86_64 ([email protected]) (gcc version 10.1>

Jul 06 06:27:05 testvm1.both.org kernel: Command line: BOOT_IMAGE=(hd0,msdos1)/vmlinuz-5.7.6-201.fc32.x86_64 root=/dev/mapper/VG01-root ro >

Jul 06 06:27:05 testvm1.both.org kernel: x86/fpu: Supporting XSAVE feature 0x001: 'x87 floating point registers'

Jul 06 06:27:05 testvm1.both.org kernel: x86/fpu: Supporting XSAVE feature 0x002: 'SSE registers'

<SNIP>
 
 Or you could use the UUID for the desired boot. The offset numbers change after each boot, but the UUID does not:
 [root@testvm1 ~]# journalctl -b 06fb81f1b29e4f68af9860844668446c
 
 The -u option allows you to select specific units to examine. You can use a unit name or a pattern for matching, and you can use this option multiple times to match multiple units or patterns. In this example, I used it in combination with -b to show chronyd journal entries for the current boot:
 [root@testvm1 ~]# journalctl -u chronyd -b

-- Logs begin at Mon 2020-06-08 07:47:20 EDT, end at Sun 2020-07-26 09:10:47 EDT. --

Jul 20 12:43:31 testvm1.both.org systemd[1]: Starting NTP client/server...

Jul 20 12:43:31 testvm1.both.org chronyd[811]: chronyd version 3.5 starting (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +SCFILTER +SIGND +ASYNCD>

Jul 20 12:43:31 testvm1.both.org chronyd[811]: Frequency -0.021 +/- 0.560 ppm read from /var/lib/chrony/drift

Jul 20 12:43:31 testvm1.both.org chronyd[811]: Using right/UTC timezone to obtain leap second data

Jul 20 12:43:31 testvm1.both.org systemd[1]: Started NTP client/server.

Jul 20 12:44:00 testvm1.both.org chronyd[811]: Selected source 192.168.0.52

Jul 20 12:44:00 testvm1.both.org chronyd[811]: System clock TAI offset set to 37 seconds

Jul 20 12:44:00 testvm1.both.org chronyd[811]: System clock wrong by 1.412227 seconds, adjustment started

Jul 20 12:44:01 testvm1.both.org chronyd[811]: System clock was stepped by 1.412227 seconds

[root@testvm1 ~]#
 
 Suppose you want to look at events that were recorded between two arbitrary times. You can also use -S (--since ) and -U (--until ) to specify the beginning and ending times. The following command displays journal entries starting at 15:36:00 on July 24, 2020, through the current time:
 [root@testvm1 ~]# journalctl -S "2020-07-24 15:36:00"
 
 And this command displays all journal entries starting at 15:36:00 on July 24, 2020, until 16:00:00 on July 25:
 [root@testvm1 ~]# journalctl -S "2020-07-24 15:36:00" -U "2020-07-25 16:00:00"
 
 This command combines -S , -U , and -u to give journal entries for the NetworkManager service unit starting at 15:36:00 on July 24, 2020, until 16:00:00 on July 25:
 [root@testvm1 ~]# journalctl -S "2020-07-24 15:36:00" -U "2020-07-25 16:00:00" -u NetworkManager
 
 Some syslog facilities, such as cron, auth, mail, daemon, user, and more, can be viewed with the --facility オプション。 You can use --facility=help to list the available facilities. In this example, the mail facility is not the Sendmail service that would be used for an email service, but the local client used by Linux to send email to root as event notifications. Sendmail actually has two parts, the server, which (for Fedora and related distributions) is not installed by default, and the client, which is always installed so that it can be used to deliver system emails to local recipients, especially root:
 [root@testvm1 ~]# journalctl --facility=mail
 
 The journalctl man page lists all the options that can be used to narrow searches. The table below summarizes some of the options I use most frequently. Most of these options can be used in various combinations to further narrow a search. Refer to my previous article Analyzing systemd calendar and timespans for details on creating and testing timestamps, as well as important tips like using quotes around timestamps.
 Options to narrow searches of the journal
 Option  Description  
 
 --list-boots  This displays a list of boots. The information can be used to show journal entries only for a particular boot.  
 -b [offset|boot ID]  This specifies which boot to display information for. It includes all journal entries from that boot through shutdown or reboot.  
 --facility=[facility name]  This specifies the facility names as they're known to syslog. Use --facility=help to list the valid facility names.  
 -k , --dmesg  These display only kernel messages and are equivalent to using the dmesg command.  
 -S , --since [timestamp]   These show all journal entries since (after) the specified time. They can be used with --until  to display an arbitrary range of time. Fuzzy times such as "yesterday" and "2 hours ago"—with quotes—are also allowed.  
 -u [unit name]  The -u option allows you to select specific units to examine. You can use a unit name or a pattern for matching. This option can be used multiple times to match multiple units or patterns.  
 -U , --until [timestamp]  These show all journal entries until (prior to) the specified time. They can be used with --since  to display an arbitrary range of time. Fuzzy times such as "yesterday" and "2 hours ago"—with quotes—are also allowed.  
 
 
 Other interesting options
 
 The journalctl program offers some other interesting options, as well. These are useful for refining the data search, specifying how the journal data is displayed, and managing the journal files.
 Additional interesting journalctl options
 Option  Description  
 -f , --follow  This journalctl option is similar to using the tail -f 指図。 It shows the most recent entries in the journal that match whatever other options have been specified and also displays new entries as they occur. This can be useful when watching for events and when testing changes.  
 -e , --pager-end  The -e option displays the end of the data stream instead of the beginning. This does not reverse the order of the data stream, rather it causes the pager to jump to the end.  
 --file [journal filename]  This names a specific journal file in /var/log/journal/ .  
 -r , --reverse  This option reverses the order of the journal entries in the pager so that the newest are at the top rather than the bottom.  
 -n , --lines=[X]  This shows the most recent X number of lines from the journal.  
 --utc  This displays times in UTC rather than local time.  
 -g , --grep=[REGEX]  I like the -g option because it enables me to search for specific patterns in the journal data stream. This is just like piping a text data stream through the grep 指図。 This option uses Perl-compatible regular expressions.  
 --disk-usage  This option displays the amount of disk storage used by the current and archived journals. It might not be as much as you think.  
 --flush  Journal data stored in the virtual filesystem /run/log/journal/ , which is volatile storage, is written to /var/log/journal/ which is persistent storage. This option ensures that all data is flushed to /run/log/journal/ at the time it returns.  
 --sync  This writes all unwritten journal entries (still in RAM but not in /run/log/journal ) to the persistent filesystem. All journal entries known to the journaling system at the time the command is entered are moved to persistent storage.  
 --vacuum-size= --vacuum-time= --vacuum-files=  These can be used singly or in combination to remove the oldest archived journal files until the specified condition is met. These options only consider archived files, and not active files, so the result might not be exactly what was specified.  
 
 
 
 I'll explore some of these entries below. More options can be found in the journalctl man page.
 Journal files
 
 If you have not already, be sure to list the files in the journal directory on your host. Remember that the name of the directory containing the journal files is a long, random number. This directory contains multiple active and archived journal files, including some for users:
 [root@david ~]# cd /var/log/journal/ad8f29ed15044f8ba0458c846300c2a4/

[root@david ad8f29ed15044f8ba0458c846300c2a4]# ll

total 352308

-rw-r-----+ 1 root systemd-journal  33554432 May 28 13:07 system@0c91aaef57c441859ea5e421edff6528-0000000000000001-0005a6703120d448.journal

-rw-r-----+ 1 root systemd-journal 109051904 Jun 23 21:24 system@0c91aaef57c441859ea5e421edff6528-0000000000008238-0005a6b85e4e03c6.journal

-rw-r-----+ 1 root systemd-journal 100663296 Jul 21 18:39 system@0c91aaef57c441859ea5e421edff6528-0000000000021f3e-0005a8ca55efa66a.journal

-rw-r-----+ 1 root systemd-journal  41943040 Jul 30 09:34 system.journal

-rw-r-----+ 1 root systemd-journal   8388608 May 28 13:07 user-1000@037bcc7935234a5ea243b3af304fd08a-0000000000000c45-0005a6705ac48a3c.journal

-rw-r-----+ 1 root systemd-journal  16777216 Jun 23 21:24 user-1000@bc90cea5294447fba2c867dfe40530db-0000000000008266-0005a6b85e910761.journal

-rw-r-----+ 1 root systemd-journal  41943040 Jul 21 16:08 user-1000@bc90cea5294447fba2c867dfe40530db-0000000000021f4b-0005a8ca68c83ab7.journal

-rw-r-----+ 1 root systemd-journal   8388608 Jul 30 09:34 user-1000.journal

[root@david ad8f29ed15044f8ba0458c846300c2a4]#
 
 You can see the user files in this listing for the user ID (UID) 1000, which is my Linux account. The --files option allows me to see the content of specified files, including the user files:
 [root@david ad8f29ed15044f8ba0458c846300c2a4]# journalctl --file user-1000.journal

<SNIP>

Jul 29 14:13:32 david.both.org tumblerd[145509]: Registered thumbnailer /usr/bin/gdk-pixbuf-thumbnailer -s %s %u %o

Jul 29 14:13:32 david.both.org Thunar[2788]: ThunarThumbnailer: got 0 handle (Queue)

Jul 29 14:13:32 david.both.org Thunar[2788]: ThunarThumbnailer: got 0 handle (Error or Ready)

Jul 29 14:13:32 david.both.org Thunar[2788]: ThunarThumbnailer: got 0 handle (Finished)

Jul 29 14:15:33 david.both.org tumblerd[145552]: error: Broken zip file structure

Jul 29 14:20:34 david.both.org systemd[2466]: dbus-:[email protected]: Succeeded.

Jul 29 14:34:17 david.both.org systemd[2466]: Starting Cleanup of User's Temporary Files and Directories...

Jul 29 14:34:17 david.both.org systemd[2466]: systemd-tmpfiles-clean.service: Succeeded.

Jul 29 14:34:17 david.both.org systemd[2466]: Finished Cleanup of User's Temporary Files and Directories.

Jul 29 14:48:26 david.both.org systemd[2466]: Started dbus-:[email protected].

Jul 29 14:48:26 david.both.org tumblerd[145875]: Registered thumbnailer gsf-office-thumbnailer -i %i -o %o -s %s

<SNIP>
 
 This output shows, among other things, temporary file cleanup for the UID1000 user. Data relating to individual users may be helpful in locating the root cause of problems originating in user space. I found a number of interesting entries in this output. Try it on your host and see what you find.
 Adding journal entries
 
 It can be useful to add your own entries to the journal. This is accomplished with the systemd-cat program that allows piping the STDOUT of a command or program to the journal. This command can be used as part of a pipeline on the command line or in a script:
 [root@testvm1 ~]# echo "Hello world" | systemd-cat -p info -t myprog

[root@testvm1 ~]# journalctl -n 10

Jul 27 09:01:01 testvm1.both.org CROND[976442]: (root) CMD (run-parts /etc/cron.hourly)

Jul 27 09:01:01 testvm1.both.org run-parts[976445]: (/etc/cron.hourly) starting 0anacron

Jul 27 09:01:01 testvm1.both.org run-parts[976451]: (/etc/cron.hourly) finished 0anacron

Jul 27 09:07:53 testvm1.both.org unknown[976501]: Hello world

Jul 27 09:10:47 testvm1.both.org systemd[1]: Starting system activity accounting tool...

Jul 27 09:10:47 testvm1.both.org systemd[1]: sysstat-collect.service: Succeeded.

Jul 27 09:10:47 testvm1.both.org systemd[1]: Finished system activity accounting tool.

Jul 27 09:10:47 testvm1.both.org audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=sysstat-collect comm="systemd" exe="/usr/lib/syst>

Jul 27 09:10:47 testvm1.both.org audit[1]: SERVICE_STOP pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=sysstat-collect comm="systemd" exe="/usr/lib/syste>

Jul 27 09:17:10 testvm1.both.org myprog[976516]: Hello world

[root@testvm1 ~]#
 
 The -p option specifies a priority, emerg, alert, crit, err, warning, notice, info, debug, or a value between 0 and 7 that represents each of those named levels. These priority values are the same as those defined by syslog(3) 。 The default is info.  -t  option is an identifier, which can be any arbitrary short string, such as a program or script name. This string can be used for searches by the journalctl コマンド：
 [root@testvm1 ~]# journalctl -t myprog

-- Logs begin at Mon 2020-06-08 07:47:20 EDT, end at Mon 2020-07-27 09:21:57 EDT. --

Jul 27 09:17:10 testvm1.both.org myprog[976516]: Hello world

[root@testvm1 ~]#
 Journal management
 
 I use the --disk-usage option to check on journal sizes, along with other commands relating to disk usage, to ensure that my /var filesystem is not filling up:
 [root@testvm1 ~]# journalctl --disk-usage 

Archived and active journals take up 136.0M in the file system.

[root@testvm1 ~]#
 
 The disk usage for the journals on the testvm1 host is about 136MB. The result on my primary workstation is 328MB, and the host I use for my firewall and router uses 2.8GB for the journals. Journal sizes depend greatly on the host's use and daily run time. My physical hosts all run 24x7.
 
 The /etc/systemd/journald.conf file can be used to configure the journal file sizes, rotation, and retention times to meet any needs not met by the default settings. You can also configure the journal storage location—you can specify a directory on the storage device or whether to store everything in RAM, which is volatile storage. If the journals are stored in RAM, they will not be persistent between boots.
 
 The default time unit in the journald.conf file is seconds, but it can be overridden using the suffixes year , month , week , day , h , or m 。
 
 Suppose you want to limit the total amount of storage space allocated to journal files to 1GB, store all journal entries in persistent storage, keep a maximum of 10 files, and delete any journal archive files that are more than a month old. You can configure this in /etc/systemd/journald.conf using:
 SystemMaxUse=1G

Storage=persistent 

SystemMaxFiles=10

MaxRetentionSec=1month
 
 By default, the SystemMaxUse is 10% of available disk space. The default settings have been fine for the systems I work with, and I have not needed to change any of them. The journald.conf man page states that the time-based settings for specifying how long to store journal entries in a single file or to retain older files are normally not necessary. This is because file number and size configurations usually force rotation and deletion of old files before any time settings might be needed.
 
 The SystemKeepFree option ensures a specific amount of space is kept free for other data. Many databases and application programs use the /var filesystem to store data, so ensuring enough available storage space may be critical in systems with smaller hard drives and minimum space allocated to /var 。
 
 If you make changes to this configuration, be sure to monitor the results carefully for an appropriate period of time to ensure they are performing as expected.
 Journal file rotation
 
 The journal files are typically rotated automatically based upon the configuration in the /etc/systemd/journald.conf ファイル。 Files are rotated whenever one of the specified conditions is met. So if, for example, the space allocated to journal files is exceeded, the oldest file(s) is deleted, the active file is made into an archive, and a new active file is created.
 
 Journal files can also be rotated manually. I suggest using the --flush option to ensure current data is moved to persistent storage before you run the command:
 [root@testvm1 ~]# journalctl --rotate
 
 There is another way to purge old journal files without performing a file rotation. The vacuum-size= , vacuum-files= , and vacuum-time= commands can be used to delete old archive files down to a specified total size, number of files, or prior time. The option values consider only the archive files and not the active ones, so the resulting reduction in total file size might be somewhat less than expected.
 
 The following command purges old archive files so that only ones that are less than one month old are left. You can use the s , m , h , days , months , weeks , and years suffixes:
 [root@testvm1 ~]# journalctl --vacuum-time=1month 
 
 This command deletes all archive files except for the four most recent ones. If there are fewer than four archive files, nothing will happen, and the original number of files remains:
 [root@testvm1 ~]# journalctl --vacuum-files=4
 
 This last vacuum command deletes archive files until 200MB or less of archived files are left:
 [root@testvm1 ~]# journalctl --vacuum-size=200M
 
 Only complete files are deleted. The vacuum commands do not truncate archive files to meet the specification. They also work only on archive files, not active ones.
 Final thoughts
 
 This article looked at using the journalctl command to extract various types of data from the systemd journal in different formats. It also explored managing journal files and how to add entries to the log from commands and scripts.
 
 The systemd journal system provides a significant amount of metadata and context for entries compared to the old syslogd program. This additional data and the context available from the other journal entries around the time of an incident can help the sysadmin locate and resolve problems much faster than having to search multiple syslog files.
 
 In my opinion, the journalctl command meets the Unix philosophy that programs should do one thing and do it well. The only thing journalctl does is extract data from the journal and provide many options for selecting and formatting that data. At about 85K, it is not very big. Of course, that does not include shared libraries, but those are, by definition, shared with other programs.
 
 You should now have enough information to use the systemd journal more effectively. If you would like to know more than what I covered here, look in the man pages for journalctl and systemd-cat 。
 Resources
 
 There is a great deal of information about systemd available on the internet, but much is terse, obtuse, or even misleading. In addition to the resources mentioned in this article, the following webpages offer more detailed and reliable information about systemd startup. This list has grown since I started this series of articles to reflect the research I have done.
  DigitalOcean has a very good article about journalctl and how to view and manipulate systemd logs.
 The Fedora Project has a good, practical guide to systemd. It has pretty much everything you need to know in order to configure, manage, and maintain a Fedora computer using systemd.
 The Fedora Project also has a good cheat sheet that cross-references the old SystemV commands to comparable systemd ones.
 Red Hat documentation contains a good description of the Unit file structure as well as other important information. 
 For detailed technical information about systemd and the reasons for creating it, check out Freedesktop.org's description of systemd.
 Linux.com's "More systemd fun" offers more advanced systemd information and tips.
 
 
 There is also a series of deeply technical articles for Linux sysadmins by Lennart Poettering, the designer and primary developer of systemd. These articles were written between April 2010 and September 2011, but they are just as relevant now as they were then. Much of everything else good that has been written about systemd and its ecosystem is based on these papers.
  Rethinking PID 1
 systemd for Administrators, Part I
 systemd for Administrators, Part II
 systemd for Administrators, Part III
 systemd for Administrators, Part IV
 systemd for Administrators, Part V
 systemd for Administrators, Part VI
 systemd for Administrators, Part VII
 systemd for Administrators, Part VIII
 systemd for Administrators, Part IX
 systemd for Administrators, Part X
 systemd for Administrators, Part XI

Option	Description
`--list-boots`	This displays a list of boots. The information can be used to show journal entries only for a particular boot.
`-b [offset\|boot ID]`	This specifies which boot to display information for. It includes all journal entries from that boot through shutdown or reboot.
`--facility=[facility name]`	This specifies the facility names as they're known to syslog. Use `--facility=help` to list the valid facility names.
`-k` , `--dmesg`	These display only kernel messages and are equivalent to using the `dmesg` command.
`-S` , `--since [timestamp]`	These show all journal entries since (after) the specified time. They can be used with `--until` to display an arbitrary range of time. Fuzzy times such as "yesterday" and "2 hours ago"—with quotes—are also allowed.
`-u [unit name]`	The `-u` option allows you to select specific units to examine. You can use a unit name or a pattern for matching. This option can be used multiple times to match multiple units or patterns.
`-U` , `--until [timestamp]`	These show all journal entries until (prior to) the specified time. They can be used with `--since` to display an arbitrary range of time. Fuzzy times such as "yesterday" and "2 hours ago"—with quotes—are also allowed.

Option	Description
`-f` , `--follow`	This `journalctl` option is similar to using the `tail -f` 指図。 It shows the most recent entries in the journal that match whatever other options have been specified and also displays new entries as they occur. This can be useful when watching for events and when testing changes.
`-e` , `--pager-end`	The `-e` option displays the end of the data stream instead of the beginning. This does not reverse the order of the data stream, rather it causes the pager to jump to the end.
`--file [journal filename]`	This names a specific journal file in `/var/log/journal/` .
`-r` , `--reverse`	This option reverses the order of the journal entries in the pager so that the newest are at the top rather than the bottom.
`-n` , `--lines=[X]`	This shows the most recent `X` number of lines from the journal.
`--utc`	This displays times in UTC rather than local time.
`-g` , `--grep=[REGEX]`	I like the `-g` option because it enables me to search for specific patterns in the journal data stream. This is just like piping a text data stream through the `grep` 指図。 This option uses Perl-compatible regular expressions.
`--disk-usage`	This option displays the amount of disk storage used by the current and archived journals. It might not be as much as you think.
`--flush`	Journal data stored in the virtual filesystem `/run/log/journal/` , which is volatile storage, is written to `/var/log/journal/` which is persistent storage. This option ensures that all data is flushed to `/run/log/journal/` at the time it returns.
`--sync`	This writes all unwritten journal entries (still in RAM but not in `/run/log/journal` ) to the persistent filesystem. All journal entries known to the journaling system at the time the command is entered are moved to persistent storage.
`--vacuum-size=` `--vacuum-time=` `--vacuum-files=`	These can be used singly or in combination to remove the oldest archived journal files until the specified condition is met. These options only consider archived files, and not active files, so the result might not be exactly what was specified.