Los registros de Systemd (`journalctl`) son demasiado grandes y lentos

20

Mi journalctlcuenta con más de 300 MB de registros según lo revelado por journalctl --disk-usage. Todo parece estar en orden cuando ejecuto journalctl --verify:

$ journalctl --disk-usage
Archived and active journals take up 328.0M on disk.

$ journalctl --verify
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/system.journal    
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-65534.journal
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/system@02f1aae76e32467390ab88ba03ae559e-0000000000000001-00056515dbdcd67e.journal
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-1000.journal 
PASS: /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-65534@9838f64d6ee047bebec9d30d329064d4-00000000000005bb-00056515dbfe8d9d.journal

Me di cuenta de lo lento que es el sistema cuando conduzco grepdesde journalctl.

¿Cómo puedo reducir sensiblemente el tamaño de lo que guardo journalctl?

Imagen original .GIF

WinEunuuchs2Unix
fuente

Respuestas:

29

systemd viene con una ingeniosa aspiradora

Limitar los archivos de registro a un tamaño específico systemdproporciona una vacuumfunción para "extraer" información anterior de los archivos de registro. Los parámetros permitidos son:

 --vacuum-size=BYTES   Reduce disk usage below specified size
 --vacuum-files=INT    Leave only the specified number of journal files
 --vacuum-time=TIME    Remove journal files older than specified time

Por ejemplo, para reducir el consumo de 312 MB a 200 MB (o menos) use:

$ journalctl --vacuum-size=200M
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/[email protected]~ (56.0M).
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/[email protected]~ (8.0M).
Deleted archived journal /var/log/journal/d7b25a27fe064cadb75a2f2f6ca7764e/user-1000@1bbb77599cf14c65a18af51646751696-000000000000064f-00056444d58433e1.journal (112.0M).
Vacuuming done, freed 176.0M of archived journals on disk.

Espacio en disco ahorrado

El journalctltamaño se reduce sustancialmente:

$ journalctl --disk-usage
Archived and active journals take up 136.0M on disk.

El tamaño se ha reducido de 312 MB a 136 MB, un ahorro de 176 MB y 64 MB más de lo esperado. Esta es probablemente una anomalía única debido a un extraordinario archivo de registro único grande. Revisaré esta respuesta después de un mes si surge nueva información.

Registros de arranque reducidos

El número de journalctlregistros de arranque fue de 32 pero ahora se reduce a 26:

$ journalctl --list-boots
-26 0f230cc546fd4aec8f5233e0074ab3e1 Tue 2018-02-13 03:57:20 MST—Wed 2018-02-14 
-25 c0d2c0141dd840cbab75d3c2254f8781 Wed 2018-02-14 22:59:13 MST—Sat 2018-02-17 
-24 aafb2573a6374e019a7165cb8eee74a0 Sun 2018-02-18 06:02:03 MST—Mon 2018-02-19 
-23 8462f1969c6f4d61973e7e245014b846 Mon 2018-02-19 04:16:53 MST—Sat 2018-02-24 
-22 7f71ac2fb9714c49aa05989b741655f2 Sat 2018-02-24 04:24:36 MST—Sat 2018-02-24 
-21 b12a48c363474e5fb39311a166a98d54 Sat 2018-02-24 04:28:09 MST—Sun 2018-02-25 
-20 fbef1e659de64a0cbdcb9994f5a39457 Sun 2018-02-25 17:48:20 MST—Mon 2018-02-26 
-19 3d9b4c10f98d4ef7aab1cb2baa9b74e1 Mon 2018-02-26 08:37:01 MST—Mon 2018-02-26 
-18 4412b117dcc648aa9eceabcd0f205207 Mon 2018-02-26 08:38:00 MST—Mon 2018-02-26 
-17 f6794cbb7fb24213a6f2c3e368f666a1 Mon 2018-02-26 08:39:12 MST—Mon 2018-02-26 
-16 472f968506ed446ab12cf7abc65fa81a Mon 2018-02-26 08:49:37 MST—Mon 2018-02-26 
-15 d575c609d82e4ecd8dcebb70d40160d7 Mon 2018-02-26 17:07:36 MST—Mon 2018-02-26 
-14 878cfd9239a84dae80c62e7413c72951 Mon 2018-02-26 17:24:54 MST—Mon 2018-02-26 
-13 7f9913c7dbff46ab9bbd7c2cbefc4d7d Mon 2018-02-26 17:35:19 MST—Mon 2018-02-26 
-12 bf90829ef13a4e9fa1794bf0a88f4033 Mon 2018-02-26 17:45:12 MST—Wed 2018-02-28 
-11 fb879a836c7c459ab27f6332bee6013b Wed 2018-02-28 03:56:29 MST—Wed 2018-02-28 
-10 b0fec230765046f5bf3d654db1dc13ee Wed 2018-02-28 20:03:15 MST—Thu 2018-03-01 
 -9 72a2d6789eab4396be16348d9ead0408 Thu 2018-03-01 03:58:25 MST—Fri 2018-03-02 
 -8 8bccdc9b16124d26af05c34c8a30a0f5 Fri 2018-03-02 16:54:36 MST—Sat 2018-03-03 
 -7 40c2875db30349f5a9b1dfc849a47c05 Sat 2018-03-03 10:03:48 MST—Sat 2018-03-03 
 -6 781c79d2ec7946afba0fa2300e8ebe56 Sat 2018-03-03 10:04:34 MST—Sat 2018-03-03 
 -5 bb66dc875e414021940b7233072516d2 Sat 2018-03-03 17:43:08 MST—Tue 2018-03-06 
 -4 ba3bcfdc71584757b8bef9df16e7b0f6 Tue 2018-03-06 16:56:36 MST—Tue 2018-03-06 
 -3 60faa0fda99a4ef4b14b73c412d69e50 Tue 2018-03-06 17:00:47 MST—Tue 2018-03-06 
 -2 9b317bb8403344ca84dd2f288bc90410 Tue 2018-03-06 17:02:15 MST—Tue 2018-03-06 
 -1 dcb126be665a4531aae4312af7e51a34 Tue 2018-03-06 17:09:00 MST—Tue 2018-03-06 
  0 6a105af650d5442a9b03004165e58adf Tue 2018-03-06 17:42:45 MST—Wed 2018-03-07 

Rendimiento mejorado

El tiempo para verificar la journalctlintegridad es notablemente más rápido:

journalctl verificar 2.png

El tiempo se ha reducido de 10 segundos a 4 segundos.

Crédito a esta fuente


Soluciones a largo plazo

He creado un crontrabajo para ejecutar la aspiradora una vez al mes.

Otra opción que se menciona en los comentarios es establecer SystemMaxUse=50Men /etc/systemd/journald.conf. En realidad, hay cuatro lugares diferentes donde puede configurar la opción:

/etc/systemd/journald.conf
/etc/systemd/journald.conf.d/*.conf
/run/systemd/journald.conf.d/*.conf
/usr/lib/systemd/journald.conf.d/*.conf

En realidad, hay muchas opciones que puede usar para objetivos similares:

SystemMaxUse=, SystemKeepFree=, SystemMaxFileSize=, SystemMaxFiles=, RuntimeMaxUse=, RuntimeKeepFree=, RuntimeMaxFileSize=, RuntimeMaxFiles=
WinEunuuchs2Unix
fuente
55
Esta es una solución temporal, no una solución permanente. Debería mencionar /etc/systemd/journald.confSystemMaxUse=50M
phiresky
@phiresky Gracias por señalar esto. He actualizado la respuesta.
WinEunuuchs2Unix
2

Puede indicar a journalctl que muestre una cantidad menor de cosas. Hay varias formas de hacerlo, como:

  • -u [unit]o --unit=[unit]: esto le dice a journalctl que solo muestre registros de una unidad systemd. Podría, por ejemplo, escribir journalctl -u NetworkManager.servicey obtendrá registros de NetworkManager.
  • -s [time]o --since=[time]: Esto le dice a journalctl que ignore cualquier entrada anterior a un tiempo determinado, especificado como yyyy-mm-dd hh:mm:ss. Si desea dejar fuera el tiempo, journalctl usará 00:00:00. Además, si omite la fecha, journalctl usará la fecha actual. He aquí un ejemplo, tomado de la página del manual: journalctl -s 2012-10-30 18:17:16.
  • -U [time]o --until=[time]: esto es bastante similar a lo anterior, excepto que omite entradas posteriores a la hora especificada. Los argumentos y la sintaxis son iguales.
  • -n [x]o --lines [x]: limita el número de líneas de salida, donde "x" es un número entero. Si escribe journalctl -n 12, solo se mostrarán los doce registros más recientes .

También puede reducir la cantidad de datos retenidos, pero WinEunuuchs2Unix ya lo señaló, por lo que no perderé tiempo repitiendo esa información.

TSJNachos117
fuente
Se parece journalctltiene una gran cantidad de opciones y alguien debería escribir una zenityo yadfrontal con interfaz gráfica de usuario menús desplegables y botones de radio / casillas de verificación para filtrar. Estoy un poco tentado a mí mismo. +1 a pesar de que la respuesta se desvía del espíritu de pregunta :)
WinEunuuchs2Unix