Hôm nay Nhân Hòa sẽ cùng các bạn tìm hiểu về Journald nhé.

Journald là một công cụ nhật ký sự kiện (event logging) trong hệ điều hành Linux. Nó được sử dụng để ghi lại các sự kiện hệ thống, thông báo và các hoạt động khác liên quan đến hệ thống.

Journald có thể giúp bạn theo dõi và phân tích các thông báo hệ thống, nhật ký hệ thống và các thông báo từ các ứng dụng chạy trên hệ thống. Nó cung cấp một cơ sở dữ liệu nhật ký mạnh mẽ và hỗ trợ nhiều tính năng như tìm kiếm, lọc, xem lại và phân tích các thông tin được ghi lại.

Theo mặc định, Journald đang chạy và nhiều dữ liệu ghi nhật ký trên Hệ thống được Journald thu thập.
Do đó, nếu [Journald (systemd-journald.service systemd-journald.socket systemd-journald-dev-log.socket)] không hoạt động thì việc thu thập nhiều dữ liệu ghi nhật ký cũng sẽ dừng lại.

systemctl status systemd-journald.service

Có thể thay đổi cài đặt của Journald trên [/etc/systemd/journald.conf].
Tất cả các tùy chọn đều được comment theo mặc định, tuy nhiên chúng là tham số mặc định của Journald trên Ubuntu, ở đây mình kiểm tra trên ubuntu 22.04

cat /etc/systemd/journald.conf

Vị trí lưu trữ dữ liệu nhật ký được đặt trên [Storage=***] của [/etc/systemd/journald.conf].
Đối với vị trí lưu trữ dữ liệu ghi nhật ký, chúng cũng được lưu trữ trong các tệp thông thường như [/var/log/syslog], v.v. bởi Rsyslogd với cài đặt [ForwardToSyslog=yes] trên Journald.

grep Storage /etc/systemd/journald.conf

ll -d /var/log/journal

ll -Rh /var/log/journal

Để hiển thị dữ liệu nhật ký được lưu trữ bằng Journald, có thể thực hiện bằng lệnh [journalctl]

journalctl

journalctl -u cron.service

journalctl -u mariadb

journalctl -u named

...

Show kernel log

journalctl -k

Show log trong khoảng thời gian

journalctl -S "2024-04-29 00:00:00" -U "2024-04-29 23:59:59"

Với -S là Since, -U là Util

Show với từ khóa đặc biệt (ssh) trong các dòng message

journalctl -g "ssh"

Cần thì trợ giúp

journalctl --help --no-pager

Hẹn gặp lại các bạn tại các bài viết sau tại wiki.nhanhoa.com