如何检查 Linux 内核环形缓冲区是否处于活动状态

简介

在本次实验中，你将学习如何检查 Linux 系统中内核环形缓冲区（kernel ring buffer）是否处于活动状态。内核环形缓冲区是理解系统事件和进行故障排除的重要组件。你将探索三种访问和检查其内容的方法：使用 dmesg 命令直接查看缓冲区，通过 /proc/kmsg 文件验证其存在和内容，最后，利用 journalctl 检查由 systemd 日志管理的内核日志。这些步骤将为你提供在 Linux 系统上监控和分析内核消息的实用技能。

Skills Graph

使用 dmesg 检查缓冲区

在这一步中，你将学习如何使用 dmesg 命令查看内核环形缓冲区（kernel ring buffer）。内核环形缓冲区是内存中的一个特殊区域，Linux 内核会将有关硬件、设备驱动程序和系统事件的消息存储在此处。这些消息对于故障排除和了解系统底层发生的情况至关重要。

你可以将内核环形缓冲区想象成内核的日志簿。当发生重要事件（如检测到设备或出现错误）时，内核会将一条消息写入此缓冲区。dmesg 就是用于读取这些消息的工具。

如果终端尚未打开，请打开它。你可以通过点击桌面左侧的 Xfce Terminal 图标来打开终端。

现在，输入以下命令并按回车键：

dmesg

你会看到大量输出在终端中滚动显示。这就是内核环形缓冲区的内容。输出可能类似于以下内容（确切内容会因你的系统和运行时间而异）：

[    0.000000] Linux version 5.15.0-xx-generic (buildd@lcy02-amd64-xx) (gcc (Ubuntu 11.4.0-1ubuntu1~22.04) 11.4.0, GNU ld (GNU Binutils for Ubuntu) 2.38) #xx-Ubuntu SMP Tue Feb 20 15:48:58 UTC 2024
[    0.000000] Command line: BOOT_IMAGE=/boot/vmlinuz-5.15.0-xx-generic root=UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx ro console=ttyS0,115200
[    0.000000] KERNEL supported cpus:
[    0.000000]   Intel GenuineIntel
[    0.000000]   AMD AuthenticAMD
...
[   10.123456] usb 1-1: new high-speed USB device number 2 using xhci_hcd
[   10.567890] usb 1-1: New USB device found, idVendor=xxxx, idProduct=xxxx
[   10.567890] usb 1-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
...

每行开头的时间戳表示自系统启动以来经过的时间。

由于输出可能非常长，因此通常将 dmesg 的输出通过管道传递给 less 或 more 等分页器会很有用。这样你就可以逐页滚动查看输出。

试试这个命令：

dmesg | less

现在你可以使用箭头键上下滚动，按 q 退出 less。

你还可以使用 grep 过滤 dmesg 的输出，以搜索特定关键字。例如，要查看与 USB 设备相关的消息，可以使用：

dmesg | grep -i usb

-i 选项使搜索不区分大小写。

使用 dmesg 是诊断 Linux 系统硬件问题和了解系统启动过程的一项基本技能。

点击 Continue 进入下一步。

验证 /proc/kmsg 中的缓冲区

在上一步中，你使用 dmesg 命令查看了内核环形缓冲区（kernel ring buffer）。现在，让我们来探究 dmesg 是从哪里获取信息的。内核环形缓冲区在 /proc 文件系统中以虚拟文件的形式呈现，具体路径为 /proc/kmsg。

/proc 文件系统是 Linux 中的一个特殊文件系统，它提供有关进程和其他系统信息。这是内核与用户空间程序进行通信的一种方式。/proc 中的文件并非磁盘上的真实文件，而是在你访问它们时由内核动态生成的。

/proc/kmsg 文件包含与 dmesg 显示的相同的内核消息。然而，直接读取 /proc/kmsg 会稍有不同。dmesg 会对输出进行处理和格式化，以便于阅读，而直接读取 /proc/kmsg 则会得到原始消息。

让我们尝试使用 cat 命令读取 /proc/kmsg 的内容。

如果终端尚未打开，请打开它。

输入以下命令并按回车键：

cat /proc/kmsg

你可能会看到一些输出，但它可能不如 dmesg 的输出易于阅读。此外，如果没有新消息，读取 /proc/kmsg 有时可能会阻塞，或者它可能会显示已经读过的消息。

<level>message
<level>message
...

<level> 部分表示消息的日志级别（例如，严重、错误、警告、信息、调试）。

虽然你 可以 直接读取 /proc/kmsg，但 dmesg 是查看内核环形缓冲区的标准且推荐的工具，因为它提供了更好的格式化和过滤选项。了解 /proc/kmsg 是信息来源有助于你理解 dmesg 在底层是如何工作的。

出于大多数实际目的，你会使用 dmesg 而不是直接读取 /proc/kmsg。这一步主要是为了向你展示 dmesg 输出的底层来源。

点击 Continue 进入下一步，我们将了解一个更现代的日志系统。

使用 journalctl 检查日志

在前面的步骤中，你了解了内核环形缓冲区（kernel ring buffer）以及如何使用 dmesg 查看其内容。虽然 dmesg 非常适合查看内核消息，但现代 Linux 系统使用一种更全面的日志系统，称为 systemd-journald。journalctl 命令是与 systemd-journald 日志进行交互的主要工具。

systemd-journald 从各种来源收集日志消息，包括内核（就像你用 dmesg 看到的消息）、系统服务、应用程序，甚至进程的标准输出和标准错误。它以结构化、带索引的格式存储这些日志，使搜索和过滤消息变得更加容易。

让我们来探索一下 journalctl 命令。

如果终端尚未打开，请打开它。

输入以下命令并按回车键：

journalctl

此命令将显示 systemd-journald 收集的所有日志消息。与 dmesg 类似，输出可能非常长，通常会自动通过管道传递给 less 等分页器。

-- Journal begins at Tue 2024-07-23 10:00:00 UTC, ends at Tue 2024-07-23 10:30:00 UTC. --
Jul 23 10:00:01 hostname systemd[1]: Starting Network Manager...
Jul 23 10:00:02 hostname kernel: Linux version 5.15.0-xx-generic (...)
Jul 23 10:00:03 hostname systemd[1]: Started Network Manager.
Jul 23 10:00:04 hostname systemd[1]: Starting OpenSSH server daemon...
...

你可以使用箭头键滚动，按 q 退出分页器。

journalctl 有许多用于过滤日志的选项。以下是一些示例：

要仅查看内核消息（类似于 dmesg）：

journalctl -k

要查看特定服务的日志，例如 SSH 服务：

journalctl -u ssh.service

要查看自特定时间以来的日志，例如从“今天”开始：

journalctl --since "today"

要查看最新的日志并在新消息到达时实时跟踪（类似于 tail -f）：

journalctl -f

按 Ctrl+C 退出 journalctl -f 命令。

journalctl 是系统管理和故障排除的强大工具。它为日志提供了一个集中的存储位置，并提供了灵活的查看和过滤选项。

在终端中尝试一些 journalctl 选项，看看它们如何影响输出。

点击 Continue 完成本次实验。

总结

在本次实验中，你学习了如何检查 Linux 中的内核环形缓冲区（kernel ring buffer）是否处于活动状态。你首先使用 dmesg 命令查看内核环形缓冲区的内容，该缓冲区存储了有关硬件、设备驱动程序和系统事件的重要消息。你了解到 dmesg 如何显示带有时间戳的这些消息，从而提供了系统活动的底层日志。

你还了解到 dmesg 的输出可能会很多，将其通过管道传递给 less 或 more 等分页器是浏览输出的实用技巧。这第一步展示了访问内核环形缓冲区内容以及理解其在系统监控和故障排除中作用的主要方法。