Início / unix / Perguntas / 732470
Accepted
Artem S. Tashkinov
Asked: 2023-01-21 05:10:54 +0800 CST

Extrair mensagens journalctl/system log "Process 1234 (processname) of user 1000 dumped core" em arquivos separados

  • 772

Aqui está uma questão simples.

Eu quero uma visão geral, por exemplo, arquivos separados com informações de depuração para cada processo que despejou o núcleo extraído de arquivos journalctl.

Aqui está um exemplo de saída:

Jan 17 12:49:45 localhost systemd-coredump[137987]: [?] Process 3045 (xfce4-panel) of user 1000 dumped core.
                                              
                                              Module linux-vdso.so.1 with build-id edcc6cf50d839ad9201a67e8d2de3d1bec5c03fd
                                              Module librsvg-2.so.2 with build-id a172ce96c3c2d136fc30361d4c28b4ab736833e6
                                              Metadata for module librsvg-2.so.2 owned by FDO found: {
                                                      "type" : "rpm",
                                                      "name" : "librsvg2",
                                                      "version" : "2.54.5-1.fc37",
                                                      "architecture" : "x86_64",
                                                      "osCpe" : "cpe:/o:fedoraproject:fedora:37"
                                              }
                                              
                                              Module libpixbufloader-svg.so with build-id 77cf182593e5e19b8bde9397d50f0f4d5acffe51
                                              Metadata for module libpixbufloader-svg.so owned by FDO found: {
                                                      "type" : "rpm",
                                                      "name" : "librsvg2",
                                                      "version" : "2.54.5-1.fc37",
                                                      "architecture" : "x86_64",
                                                      "osCpe" : "cpe:/o:fedoraproject:fedora:37"
                                              }
... lots more similar messages ...
Jan 17 12:49:45 localhost systemd[1]: [email protected]: Deactivated successfully.
journalctl

1 respostas

  1. Best Answer

    Não me pergunte porque mas journalctl _COMM=systemd-coredumpnão funciona pois produz: -- No entries --. Nada demais.

    Tenho certeza de que pode ser feito com muito mais facilidade, por exemplo, usando a saída JSON, mas isso envolverá o uso e a análise da jqsaída, mas como não sou um programador adequado, decidi usar awk. Aqui está o que eu tenho:

    #! /bin/bash 

journalctl --output=short-unix | awk '{
    if ($1 ~ /^[0-9]/) {
        if ( found == 1 && fname != "") system("touch -d @"unixts" "fname)
        found=0
    }
    if ($0 ~ "dumped core") { # extract timestamp and process name and generate a filename
        split($1, arr , ".")
        if(arr[1] != "") unixts=arr[1]
        psta=index($0, "(")
        pend=index($0, ")")
        pname=substr($0, psta+1, pend-psta-1)
        fname=pname"-"unixts".txt"
        found=1
    }
    if (found == 1) print $0 >> fname
}'

    Como resultado, você obtém arquivos fáceis de visualizar com um bônus desses arquivos com os mesmos registros de data e hora dos eventos de log apropriados:

    $ ls -la
drwxr-xr-x.  2 root root    740 Jan 20 13:12 .
drwxrwxrwt. 22 root root    820 Jan 20 13:12 ..
-rw-r--r--.  1 root root 105937 Jan 14 19:55 chrome-1673726131.txt
-rw-r--r--.  1 root root  73845 Jan 13 22:20 xfce4-panel-1673648402.txt
-rw-r--r--.  1 root root  73853 Jan 14 18:05 xfce4-panel-1673719532.txt
-rw-r--r--.  1 root root  72205 Jan 16 15:33 xfce4-panel-1673883202.txt
-rw-r--r--.  1 root root  73845 Jan 17 12:49 xfce4-panel-1673959785.txt
-rw-r--r--.  1 root root  62702 Jan 10 08:31 xfce4-screensav-1673339519.txt
-rw-r--r--.  1 root root  62577 Jan 10 08:32 xfce4-screensav-1673339524.txt
-rw-r--r--.  1 root root  62702 Jan 11 11:13 xfce4-screensav-1673435632.txt
-rw-r--r--.  1 root root  62577 Jan 11 11:14 xfce4-screensav-1673435640.txt

    Espero que isso também seja útil para outras pessoas.

    • 0

relate perguntas