原文链接:【命令操作】查看和分析系统各类日志–journalctl | 统信 | 麒麟 | 方德
Hello,大家好啊!今天给大家带来一篇关于Linux系统上journalctl命令详解的文章。journalctl是systemd的日志查看工具,用于查看和管理系统日志,包括内核消息、服务日志、用户日志等。通过journalctl,管理员可以方便地排查系统问题、监控服务运行状态,并进行故障排除。本文将详细介绍journalctl的基本用法和一些高级功能,帮助大家更好地理解和使用这个强大的日志工具。欢迎大家分享转发,点个关注和在看吧!
什么是journalctl?
journalctl是用于访问systemd的日志管理工具systemd-journald的命令行工具。与传统的日志文件(如/var/log/syslog)不同,journalctl可以集中管理系统的所有日志,并支持对日志进行过滤、排序和导出。
一、基本语法
journalctl [选项] [匹配条件]
journalctl 默认情况下会显示系统中所有日志的完整记录,日志会根据时间顺序排列。
通过指定不同的选项和过滤条件,可以查看指定时间范围、特定服务或事件的日志。
二、常用选项
1.查看全部日志
root@pdsyw-PC:~# journalctl
不加任何选项的 journalctl 将显示系统中的全部日志信息。
2.查看实时日志
root@pdsyw-PC:~# journalctl -f
类似于 tail -f,它会显示实时更新的日志,当新的日志条目生成时会自动滚动显示,非常适合监控服务的实时状态。
3.查看特定服务的日志
journalctl -u <服务名>
-u 选项用于查看指定服务的日志。例如:
root@pdsyw-PC:~# journalctl -u lightdm.service
这将显示 lightdm 服务的日志。
4.查看开机后的日志
root@pdsyw-PC:~# journalctl -b
-b 选项显示自上次系统启动以来的日志。
可以指定多个启动次数,比如查看前一次开机的日志:
root@pdsyw-PC:~# journalctl -b -1
5.查看内核日志
root@pdsyw-PC:~# journalctl -k
-k 选项显示与内核相关的日志,相当于 dmesg 输出的内容。
6.按时间过滤日志
查看指定时间之后的日志:
root@pdsyw-PC:~# journalctl --since "2024-09-18 16:37:00"
查看指定时间之前的日志:
root@pdsyw-PC:~# journalctl --until "2024-09-18 16:38:00"
结合使用:
root@pdsyw-PC:~# journalctl --since "2024-09-18 16:39:00" --until "2024-09-18 16:40:00"
这将显示指定日期和时间范围内的日志。
7.按优先级过滤日志
journalctl -p <优先级>
-p 选项用于按日志的优先级过滤,常见的优先级有:
0: emerg 紧急,系统不可用。
1: alert 警报,必须立即采取措施。
2: crit 严重情况。
3: err 错误。
4: warning 警告。
5: notice 注意。
6: info 信息。
7: debug 调试。
示例:
查看错误级别的日志:
root@pdsyw-PC:~# journalctl -p err
8.导出日志
导出为文本文件:
root@pdsyw-PC:~# journalctl > logs.txt
root@pdsyw-PC:~# head logs.txt
导出为压缩的二进制格式:
root@pdsyw-PC:~# journalctl --output=json | gzip > logs.json.gz
这将日志以 JSON 格式输出,并压缩成 logs.json.gz 文件。
9.按进程或用户 ID 过滤日志
根据 PID 查看特定进程的日志:
root@pdsyw-PC:~# top
root@pdsyw-PC:~# journalctl _PID=6674
根据用户 ID 查看特定用户的日志:
root@pdsyw-PC:~# top
root@pdsyw-PC:~# journalctl _UID=1000
10.按关键字过滤日志
可以通过简单的字符串匹配来过滤日志。例如查看包含 “error” 字样的日志:
root@pdsyw-PC:~# journalctl | grep "error" | head
11.常用输出格式
journalctl 支持多种输出格式,可以根据需要指定不同的输出样式。
JSON 格式:
root@pdsyw-PC:~# journalctl -o json
日志将以 JSON 格式输出,适合与其他工具集成处理。
短格式(默认):
root@pdsyw-PC:~# journalctl -o short
使用默认的短格式输出日志。
带有完整时间戳:
root@pdsyw-PC:~# journalctl -o short-iso
输出时包含完整的 ISO 格式时间戳。
系统日志格式:
root@pdsyw-PC:~# journalctl -o cat
只显示日志的消息部分,适合简单阅读。
12.日志管理与清理
查看日志占用空间
root@pdsyw-PC:~# journalctl --disk-usage
Archived and active journals take up 88.0M in the file system.
显示 journal 日志当前占用的磁盘空间。
13.删除旧日志
删除指定日期之前的日志:
root@pdsyw-PC:~# journalctl --vacuum-time=2weeks
Vacuuming done, freed 0B of archived journals from /var/log/journal/1f3f131541c54d4aa00015a14910c00e.
这将删除两周之前的日志。
14.限制日志占用的空间大小:
root@pdsyw-PC:~# journalctl --vacuum-size=1G
Vacuuming done, freed 0B of archived journals from /var/log/journal/1f3f131541c54d4aa00015a14910c00e.
将日志文件的总大小限制为 1 GB。
15.通过数量限制删除日志:
root@pdsyw-PC:~# journalctl --vacuum-files=5
保留最新的 5 个日志文件,其余的将被删除。
三、其他实用命令
1.查看最近的 10 条日志
root@pdsyw-PC:~# journalctl -n 10
2.过滤设备日志
使用 journalctl 可以查看特定设备的日志,例如查看 /dev/sda 相关的日志:
root@pdsyw-PC:~# journalctl /dev/sda
3.查看当前用户的日志
root@pdsyw-PC:~# journalctl _UID=$(id -u)
通过本文的介绍,您已经了解了如何使用journalctl命令在Linux系统中查看和管理日志。无论是过滤特定时间段、服务、优先级的日志,还是导出和清理日志,journalctl都为系统管理员提供了强大的日志管理能力。如果您觉得这篇文章有用,请分享和转发,同时别忘了点个关注和在看,以便未来获取更多实用的技术信息和工具教程。感谢大家的阅读,我们下次再见!