我有一个嵌入式设备,同时具有systemd和rsyslog。 是本地日志记录和远程日志记录的journald主要机制。 rsyslogrsyslog 并不总是运行,仅在需要调试时启动。
rsyslog 启动后,它仅转发从该时间点发生的事件。我正在尝试让它转发当前日志中可用的所有日志。
执行此操作的正确方法是$ModLoad imjournal启用/etc/rsyslog.conf.这将允许 rsyslog 读取日志的存档文件。
我使用的嵌入式系统没有可用于 rsyslog 的 imjournal 模块,并且正在寻找解决方法。
一种解决方法是让 Journald 将之前的所有存档日志重新发送到 rsyslog 正在侦听的套接字(现在处于活动状态)。
有没有办法做到这一点?
答案1
Journald 中并没有真正提供这样的功能。
这Journald.conf 手册页记录了以下限制ForwardToSyslog=:
如果启用了转发到 syslog,但没有任何内容从套接字读取消息,则转发到 syslog 不起作用。
这就是早期启动的消息丢失的原因。手册页还指出:
使用 [imjournal],消息不必立即读取,这允许仅在引导后期启动的日志守护进程访问自系统启动以来的所有消息。
这就是为什么建议使用这种方法。
我猜想当 rsyslog 第一次启动时,可以通过向其提供启动后存储在日志中的消息来完成“kludge”,使用journalctl读取它们并将logger它们提供给 rsyslog。也许像这样简单的事情就可以工作:
journalctl -b | logger -u /run/systemd/journal/syslog
尽管可能logger会尝试向消息添加日期和标签,但最终效果可能看起来与转发的消息不同...也许您可能需要比 更原始或更底层的东西logger,或者可能重新格式化journalctl输出,使其采用 rsyslog 格式会明白...
该解决方案存在竞争条件,因为在初始提要和日志转发之间很可能会丢失(或重复)一些消息。
从事期刊工作绝对是更好的解决方案。我很好奇为什么它不能提供,毕竟 systemd 和 rsyslog 软件都是为您的设备编译和构建的,所以至少在技术上也可以构建 imjournal 模式......也许有涉及一些交叉编译,这可能会对链接到 systemd 库带来挑战,但我确信这是一个可以解决的问题,所以也许可以考虑提出一个问题来使其正常工作。
要考虑的另一个可能的解决方案是使用本机日志远程协议(而不是 syslog 协议和守护程序)来集中日志。
有系统日志远程您可以在远程主机上以“接收器”模式运行,以从嵌入式设备接收条目,并将其保存在本地。和系统日志上传,您可以在嵌入式设备上运行它以将日志数据推送到远程主机。
这应该既保留早期启动的消息,也保留所有元数据,因为消息不必转换为系统日志格式。它还具有一个优点,即您不需要在嵌入式设备上保留本地运行的 rsyslog 守护程序。
(该期刊还支持“拉”模型,您可以在其中运行systemd-journal-gatewayd在您的嵌入式设备上并配置 systemd-journal-remote 以从中提取。)