我正在编写一个可以在用户空间打印系统日志的 Linux 字符驱动程序。就像命令“dmesg”一样。我了解到,我们使用“printk”打印的所有日志都将被发送到一个名为环形缓冲区的空间。所以我有以下问题:
- 环形缓冲区是否在内核空间内?
- 如果是这样,我如何读取内核空间内的环形缓冲区?(我试图阅读 dmesg.c 的源代码。但它没有帮助。)
我正在编写一个可以在用户空间打印系统日志的 Linux 字符驱动程序。就像命令“dmesg”一样。我了解到,我们使用“printk”打印的所有日志都将被发送到一个名为环形缓冲区的空间。所以我有以下问题:
这比 Pavan 的非常好的答案更进一步(教会了我很多):
不同的发行版可能会将 /proc/kmsg 的输出重定向到他们喜欢的任何物理日志文件或虚拟设备 (/dev/xxx)。但是“/proc/kmsg”是内核日志的原始来源,因为内核在 fs/proc/kmsg.c 内部实现了它的环形缓冲区操作:
static const struct file_operations proc_kmsg_operations = {
.read = kmsg_read,
.poll = kmsg_poll,
.open = kmsg_open,
.release = kmsg_release,
.llseek = generic_file_llseek,
};
所以你看到的输出是这样的:
须藤尾巴 -f /proc/kmsg
但是您只能看到发出此命令后生成的所有消息 - 环形缓冲区中的所有先前消息都不会被打印出来。因此要查看物理文件输出,您可以搜索“/proc/kmsg”的用户:
sudo lsof |grep proc.kmsg
我的机器表明了这一点:
rsyslogd 1743 syslog 3r REG 0,3 0 4026532041 /proc/kmsg
in:imuxso 1743 1755 syslog 3r REG 0,3 0 4026532041 /proc/kmsg
in:imklog 1743 1756 syslog 3r REG 0,3 0 4026532041 /proc/kmsg
rs:main 1743 1757 syslog 3r REG 0,3 0 4026532041 /proc/kmsg
所以现在是pid 1743,让我们看看1743打开的文件fd:
sudo ls -al /proc/1743/fd
lrwx------ 1 root root 64 Dec 11 08:36 0 -> socket:[14472]
l-wx------ 1 root root 64 Dec 11 08:36 1 -> /var/log/syslog
l-wx------ 1 root root 64 Dec 11 08:36 2 -> /var/log/kern.log
lr-x------ 1 root root 64 Dec 11 08:36 3 -> /proc/kmsg
l-wx------ 1 root root 64 Dec 11 08:36 4 -> /var/log/auth.log
就这样,pid 1743 是 rsyslogd,它将 /proc/kmsg 的输出重定向到 /var/log/syslog 和 /var/log/kern.log 等文件。