主页 / unix / 问题 / 732470
Accepted
Artem S. Tashkinov
Asked: 2023-01-21 05:10:54 +0800 CST

将 journalctl/系统日志“Process 1234 (processname) of user 1000 dumped core”消息提取到单独的文件中

  • 772

这是一个简单的问题。

我想要一个概览,例如,带有从journalctl.

这是一个示例输出:

Jan 17 12:49:45 localhost systemd-coredump[137987]: [?] Process 3045 (xfce4-panel) of user 1000 dumped core.
                                              
                                              Module linux-vdso.so.1 with build-id edcc6cf50d839ad9201a67e8d2de3d1bec5c03fd
                                              Module librsvg-2.so.2 with build-id a172ce96c3c2d136fc30361d4c28b4ab736833e6
                                              Metadata for module librsvg-2.so.2 owned by FDO found: {
                                                      "type" : "rpm",
                                                      "name" : "librsvg2",
                                                      "version" : "2.54.5-1.fc37",
                                                      "architecture" : "x86_64",
                                                      "osCpe" : "cpe:/o:fedoraproject:fedora:37"
                                              }
                                              
                                              Module libpixbufloader-svg.so with build-id 77cf182593e5e19b8bde9397d50f0f4d5acffe51
                                              Metadata for module libpixbufloader-svg.so owned by FDO found: {
                                                      "type" : "rpm",
                                                      "name" : "librsvg2",
                                                      "version" : "2.54.5-1.fc37",
                                                      "architecture" : "x86_64",
                                                      "osCpe" : "cpe:/o:fedoraproject:fedora:37"
                                              }
... lots more similar messages ...
Jan 17 12:49:45 localhost systemd[1]: [email protected]: Deactivated successfully.
journalctl

1 个回答

  1. Best Answer

    不要问我为什么,但journalctl _COMM=systemd-coredump在它产生时不起作用:-- No entries --。没什么大不了。

    我确信它可以通过使用 JSON 输出等方式更容易地完成,但这将涉及使用和解析jq输出,但由于我不是一个合适的程序员,我决定改为使用awk。这是我得到的:

    #! /bin/bash 

journalctl --output=short-unix | awk '{
    if ($1 ~ /^[0-9]/) {
        if ( found == 1 && fname != "") system("touch -d @"unixts" "fname)
        found=0
    }
    if ($0 ~ "dumped core") { # extract timestamp and process name and generate a filename
        split($1, arr , ".")
        if(arr[1] != "") unixts=arr[1]
        psta=index($0, "(")
        pend=index($0, ")")
        pname=substr($0, psta+1, pend-psta-1)
        fname=pname"-"unixts".txt"
        found=1
    }
    if (found == 1) print $0 >> fname
}'

    因此,您可以很容易地查看文件,这些文件的时间戳与相应的日志事件具有相同的时间戳:

    $ ls -la
drwxr-xr-x.  2 root root    740 Jan 20 13:12 .
drwxrwxrwt. 22 root root    820 Jan 20 13:12 ..
-rw-r--r--.  1 root root 105937 Jan 14 19:55 chrome-1673726131.txt
-rw-r--r--.  1 root root  73845 Jan 13 22:20 xfce4-panel-1673648402.txt
-rw-r--r--.  1 root root  73853 Jan 14 18:05 xfce4-panel-1673719532.txt
-rw-r--r--.  1 root root  72205 Jan 16 15:33 xfce4-panel-1673883202.txt
-rw-r--r--.  1 root root  73845 Jan 17 12:49 xfce4-panel-1673959785.txt
-rw-r--r--.  1 root root  62702 Jan 10 08:31 xfce4-screensav-1673339519.txt
-rw-r--r--.  1 root root  62577 Jan 10 08:32 xfce4-screensav-1673339524.txt
-rw-r--r--.  1 root root  62702 Jan 11 11:13 xfce4-screensav-1673435632.txt
-rw-r--r--.  1 root root  62577 Jan 11 11:14 xfce4-screensav-1673435640.txt

    希望这对其他人也有用。

    • 0

相关问题