日记:哪些服务正在填充允许的日记大小?

tag-icon tag-icon systemd-journald
日记:哪些服务正在填充允许的日记大小?

在 Debian 机器上,默认情况下systemd-journal关心日志。

它的配置限制了它可以使用的最大磁盘空间:

$ cat /etc/systemd/journald.conf
SystemMaxUse=100M
SystemKeepFree=200M

现在它的目录已经满了100M左右:

$ du -hs /var/log/journal
109M    /var/log/journal

在 - 的里面杂志目录,只有一个目录,里面有很多二进制文件。

有没有办法知道这109M空间按服务的分配情况?

IE

nginx: 15M
httpd: 20M
...

目前我没有找到任何方法来检查这些信息。

答案1

您可以做到这一点,但只能使用 C API 手动浏览日志中的所有条目sd-journal。并不复杂,把一个例子复制到一起,其中一些是来自于零碎的sd_journal_next联机帮助页并替换_get_data_enumerate_data

我把源代码贴出来这里。 **这有点快又脏,sd_*文档确实不太好,所以希望事情是正确的:

/* SPDX-License-Identifier: GPLv3 */
/* Copyright 2023 Marcus Müller
 * Somewhat based on man sd_journal_get_data (MIT-0), but most of the original work by
 * Marcus Müller
 */

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <systemd/sd-journal.h>

const char* KEY = "_SYSTEMD_UNIT=";
const char* ALTKEY = "_TRANSPORT=";
int main(int argc, char* argv[])
{
    int r;
    size_t KEYLEN = strlen(KEY);
    size_t ALTKEYLEN = strlen(ALTKEY);
    sd_journal* j;
    r = sd_journal_open(&j, SD_JOURNAL_LOCAL_ONLY);
    if (r < 0) {
        errno = -r;
        fprintf(stderr, "Failed to open journal: %m\n");
        return 1;
    }
    /* Print header */
    puts("unit name;length\n");

    SD_JOURNAL_FOREACH(j)
    {
        const char* data_ptr;
        size_t field_length;
        size_t total_length = 0;
        char* unitname = NULL;
        size_t unitname_len = 0;
        int unit_found = 0;

        while (0 < sd_journal_enumerate_data(j, (const void**)&data_ptr, &field_length)) {
            /* We just break the counting if we encounter a broken entry. */
            total_length += field_length;
            if (unit_found == 0) {
                if (field_length > KEYLEN && strncmp(data_ptr, KEY, KEYLEN) == 0) {
                    unit_found = 1;
                    unitname_len = field_length - KEYLEN;
                    unitname = realloc(unitname, unitname_len);
                    strncpy(unitname, data_ptr + KEYLEN, unitname_len);
                } else if (field_length > ALTKEYLEN && (unitname_len == 0) &&
                           strncmp(data_ptr, ALTKEY, ALTKEYLEN) == 0) {
                    unitname_len = field_length - ALTKEYLEN;
                    unitname = realloc(unitname, unitname_len);
                    strncpy(unitname, data_ptr + ALTKEYLEN, unitname_len);
                }
            }
        }

        if (unitname_len == 0) {
            printf("UNKNOWN;%zu\n", total_length);
        } else {
            printf("%*s;%zu\n", (int)unitname_len, unitname, total_length);
            free(unitname);
        }
    }
    sd_journal_close(j);
    return 0;
}

另存为journalsizes.c,编译为

c99 -o journalsizes $(pkg-config --cflags --libs libsystemd) journalsizes.c

并运行以./journalsizes获取以分号分隔的单位名称列表;日志条目长度(以字节为单位)。

例如,您可以通过将其放入名为的文本文件中来使用它累积日志大小.sql下列:

.mode csv
.separator ;
.import "|./journalsizes" journal
SELECT
  "unit name",
  SUM("length")/(1024*1024.0) AS megabyte
FROM
  journal
GROUP BY
  "unit name"
ORDER BY
  megabyte
DESC LIMIT 10;

并通过以下方式运行sqlite3

sqlite3 < accumulate_logsizes.sql

相关内容