Файлы .journal принадлежат systemd-journald, альтернативе традиционному «системному журналу », поэтому они в основном содержат различные служебные сообщения, и применяются те же правила:
Основной файл журнала архивируется (т. Е. "Поворачивается") каждые дни / каждые мегабайты, поэтому system.journal
1 содержит последние сообщения (аналогично /var/log/syslog
), а различные файлы system@*.journal
являются журналом. архивы (аналогично /var/log/syslog.1,2,3,…
и т. д.).
Если вы знаете, что вам не нужны старые сообщения журнала, можно безопасно заархивировать журналы (все файлы /var/log/journal/*/*@*
). Вы даже можете настроить автоматическую очистку в /etc/systemd/journald.conf
, например, срок действия всех журналов старше 3 месяцев, используя MaxRetentionSec=3months
3 месяца.
Как и в случае с системным журналом, не рекомендуется удалять "текущий" файл system.journal
, так как служба журнала все еще имеет его открытым, поэтому данные будут фактически оставаться на диске до следующей перезагрузки. (Однако последние версии журнала обнаруживают это и в любом случае работают правильно.)
Тем не менее, возможно, вам следует взглянуть на эти журналы (используя journalctl -b
и различные другие параметры), если происходит что-то ненормальное. Если вы видите огромное количество попыток входа по SSH, может пригодиться fail2ban.
1 В некоторых дистрибутивах сообщения системного журнала, генерируемые вашими собственными программами, для контроля доступа разделены на user-*
а не системные. (Например, пользователь 1000 может читать сообщения из user-1000.journal
но не обязательно system.journal
.) Вращение и все остальное остаются прежними.
2 Вы можете запустить ротацию журналов, используя systemctl kill -s SIGUSR2 systemd-journald
.