Eric Duncan's questions

如何journald在日志消息中使用元数据为日志条目添加前缀？

我想我可能必须查看其中一个详细输出，过滤掉换行符和所有额外信息，只找到我正在寻找的项目（日期时间、Docker CONTAINER_NAME、消息），然后将其余的全部忽略到一行。

可以使用类似的东西awk来去除换行符，只抓取 X、Y、Z 行，并将它们显示在一行上吗？那么 args 如何知道对每条 X、Y、Z 行进行分组？我的意思是，args 如何知道每个“分组”？

更多信息如下。

这是我正在记录到日志的两个不同 docker 容器中的两行：

Apr 28 18:09:43 rschool dockerd[1366]: [pid: 9|app: 0|req: 1/1] 68.180.230.53 () {48 vars in 934 bytes} [Fri Apr 28 14:09:42 2017] GET /enrollment/info-sessions/ => generated 17175 bytes in 1072 msecs (HTTP/1.0 200) 3 headers in 112 bytes (1 switches on core 0)
Apr 28 18:09:43 rschool dockerd[1366]: 68.180.230.53 - - [28/Apr/2017:18:09:43 +0000] "GET /enrollment/info-sessions/ HTTP/1.1" 200 3495 "-" "Mozilla/5.0 (Macintosh; IntelMac OS X 10_12_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.81 Safari/537.36" "-"

如您所见，您无法分辨哪个日志条目属于哪个 docker 容器。

有元数据可用于查看完整的日志消息。这是其中一条消息，当查看时journald -o verbose：

_UID=0
_GID=0
_SYSTEMD_SLICE=system.slice
_BOOT_ID=f4a6e9569f0349d1817bd92ab779ebe3
_MACHINE_ID=a62f158e48fc45eeb32afaef98d24d5b
_HOSTNAME=rschool
_TRANSPORT=journal
_CAP_EFFECTIVE=3fffffffff
_PID=1366
_COMM=dockerd
_EXE=/usr/bin/dockerd
_CMDLINE=/usr/bin/dockerd -H fd://
_SYSTEMD_CGROUP=/system.slice/docker.service
_SYSTEMD_UNIT=docker.service
CONTAINER_NAME=rschool_web_1
CONTAINER_ID=732e5bf0d0a1
CONTAINER_ID_FULL=732e5bf0d0a1cc110cacce68850143aa3534
CONTAINER_TAG=rschool_web/rschool_web_1/732e5bf0d0a1
MESSAGE=[pid: 9|app: 0|req: 1/1] 68.180.230.53 () {48 vars in 934 bytes} [Fri Apr 28 14:09:42 2017] GET /enrollment/info-sessions/ => generated 17175 bytes in 1072 msecs (HTTP/1.0 200) 3 headers in 112 bytes (1 switches on core 0)
_SOURCE_REALTIME_TIMESTAMP=1493402983899475
Fri 2017-04-28 18:09:43.901030 UTC [s=9d2777df7c3e4658a6d3d2c7896376ce;i=13ca;b=f4a6e9569f0349d1817bd92ab779ebe3;m=c91fe4d38;t=54e3dfa5ca862;x=f8ee400046f7d86f]
PRIORITY=6

但是 journald 似乎与-o verbose.

使用 journald 的 Docker 日志驱动程序的一部分，它添加了诸如CONTAINER_NAME- 这正是我正在寻找的东西。

如何使用类似于的格式显示 CONTAINER_NAME -o short？

我们的 DNSMasq 无法解析来自指定私有 IP 地址的公共域的 A、CNAME 或别名记录。

例如：

$ nslookup
> server 172.16.1.1
Default server: 172.16.1.1
Address: 172.16.1.1#53

> www.work-domain.com
Server:         172.16.1.1
Address:        172.16.1.1#53

Non-authoritative answer:
Name:   www.work-domain.com
Address: 55.77.XXX.XXX

> server-b.work-domain.com
Server:         172.16.1.1
Address:        172.16.1.1#53

Non-authoritative answer:
*** Can't find server-b.work-domain.com: No answer

但是切换到公共 DNS 工作正常：

$ nslookup
> server 8.8.8.8
Default server: 8.8.8.8
Address: 8.8.8.8#53

> www.work-domain.com
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   www.work-domain.com
Address: 55.77.XXX.XXX

> server-b.work-domain.com
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   server-b.work-domain.com
Address: 10.1.XXX.XXX

请注意，该server-b.work-domain.com条目正确解析为不可路由的 IP 地址10.1.XXX.XXX？那是我的问题，它不适用于本地网络上的本地 dnsmasq。

这些 IP 地址是我们 Amazon AWS 私有子网的一部分，我们有 VPN 可以访问它们。

这与在多个子网的 4 个不同公共域注册的所有 200 多台服务器都是 100% 一致的，所有服务器都使用私有不可路由 IP 地址。但是，使用公共可路由 IP 地址的所有其他记录都可以正常工作，在同一个域上！

其他一切都 100% 使用本地 dnsmasq 正常工作：

• 解析所有公共域
• 解析公共 IP 的所有 IP 反向查找
• 解析所有内部私有域和主机
• 解决私有 IP 和 DHCP 租约的所有 IP 反向查找

它只是使用私有不可路由 IP 的公共记录。

我一定错过了一些无法中断阅读 MAN 页面的选项。

版本：

Dnsmasq version 2.73 # (part of AdvancedTomato)

配置（删除敏感条目，留下示例）：

# dhcp-option=lan,3,172.16.1.1
cache-size=8192
log-async=25
strict-order
#local=/lan/
#domain=lan,172.16.1.0/24,local
expand-hosts
domain-needed

# network devices
address=/router-gateway.lan/172.16.1.1
address=/router-office.lane/172.16.1.2
...and so on x 70

# arpa entries
ptr-record=1.1.16.172.in-addr.arpa,"router-gateway.lan"
ptr-record=2.1.16.172.in-addr.arpa,"router-office.lan"
...and so on

AdvancedTomato 上的本地解析吐出：

# cat /etc/resolv.conf
nameserver 127.0.0.1

# cat /etc/resolv.dnsmasq
nameserver 8.8.8.8
nameserver 8.8.4.4

再次.. 一切都与 Windows、OSX 和 Linux 客户端上的本地 LAN 完美配合，解析公共和内部域和 LAN，甚至没有域后缀的主机（server-xyz -> 解析为 server-xyz.lan）。

它只是使用不可路由 IP 的公共域。