【命令操作】查看和分析系统各类日志--journalctl

原文链接：【命令操作】查看和分析系统各类日志--journalctl | 统信 | 麒麟 | 方德

Hello，大家好啊！今天给大家带来一篇关于Linux系统上journalctl命令详解的文章。journalctl是systemd的日志查看工具，用于查看和管理系统日志，包括内核消息、服务日志、用户日志等。通过journalctl，管理员可以方便地排查系统问题、监控服务运行状态，并进行故障排除。本文将详细介绍journalctl的基本用法和一些高级功能，帮助大家更好地理解和使用这个强大的日志工具。欢迎大家分享转发，点个关注和在看吧！

什么是journalctl？

journalctl是用于访问systemd的日志管理工具systemd-journald的命令行工具。与传统的日志文件（如/var/log/syslog）不同，journalctl可以集中管理系统的所有日志，并支持对日志进行过滤、排序和导出。

一、基本语法

journalctl [选项] [匹配条件]

journalctl 默认情况下会显示系统中所有日志的完整记录，日志会根据时间顺序排列。

通过指定不同的选项和过滤条件，可以查看指定时间范围、特定服务或事件的日志。

二、常用选项

1.查看全部日志

root@pdsyw-PC:~# journalctl

不加任何选项的 journalctl 将显示系统中的全部日志信息。

2.查看实时日志

root@pdsyw-PC:~# journalctl -f

类似于 tail -f，它会显示实时更新的日志，当新的日志条目生成时会自动滚动显示，非常适合监控服务的实时状态。

3.查看特定服务的日志

journalctl -u <服务名>

-u 选项用于查看指定服务的日志。例如：

root@pdsyw-PC:~# journalctl -u lightdm.service

这将显示 lightdm 服务的日志。

4.查看开机后的日志

root@pdsyw-PC:~# journalctl -b

-b 选项显示自上次系统启动以来的日志。

可以指定多个启动次数，比如查看前一次开机的日志：

root@pdsyw-PC:~# journalctl -b -1

5.查看内核日志

root@pdsyw-PC:~# journalctl -k

-k 选项显示与内核相关的日志，相当于 dmesg 输出的内容。

6.按时间过滤日志

查看指定时间之后的日志：

root@pdsyw-PC:~# journalctl --since "2024-09-18 16:37:00"

查看指定时间之前的日志：

root@pdsyw-PC:~# journalctl --until "2024-09-18 16:38:00"

结合使用：

root@pdsyw-PC:~# journalctl --since "2024-09-18 16:39:00" --until "2024-09-18 16:40:00"

这将显示指定日期和时间范围内的日志。

7.按优先级过滤日志

journalctl -p <优先级>

-p 选项用于按日志的优先级过滤，常见的优先级有：

0: emerg 紧急，系统不可用。

1: alert 警报，必须立即采取措施。

2: crit 严重情况。

3: err 错误。

4: warning 警告。

5: notice 注意。

6: info 信息。

7: debug 调试。

示例:

查看错误级别的日志：

root@pdsyw-PC:~# journalctl -p err

8.导出日志

导出为文本文件：

root@pdsyw-PC:~# journalctl > logs.txt

root@pdsyw-PC:~# head logs.txt

导出为压缩的二进制格式：

root@pdsyw-PC:~# journalctl --output=json | gzip > logs.json.gz

这将日志以 JSON 格式输出，并压缩成 logs.json.gz 文件。

9.按进程或用户 ID 过滤日志

根据 PID 查看特定进程的日志：

root@pdsyw-PC:~# top

root@pdsyw-PC:~# journalctl _PID=6674

根据用户 ID 查看特定用户的日志：

root@pdsyw-PC:~# top

root@pdsyw-PC:~# journalctl _UID=1000

10.按关键字过滤日志

可以通过简单的字符串匹配来过滤日志。例如查看包含 "error" 字样的日志：

root@pdsyw-PC:~# journalctl | grep "error" | head

11.常用输出格式

journalctl 支持多种输出格式，可以根据需要指定不同的输出样式。

JSON 格式：

root@pdsyw-PC:~# journalctl -o json

日志将以 JSON 格式输出，适合与其他工具集成处理。

短格式（默认）：

root@pdsyw-PC:~# journalctl -o short

使用默认的短格式输出日志。

带有完整时间戳：

root@pdsyw-PC:~# journalctl -o short-iso

输出时包含完整的 ISO 格式时间戳。

系统日志格式：

root@pdsyw-PC:~# journalctl -o cat

只显示日志的消息部分，适合简单阅读。

12.日志管理与清理

查看日志占用空间

root@pdsyw-PC:~# journalctl --disk-usage

Archived and active journals take up 88.0M in the file system.

显示 journal 日志当前占用的磁盘空间。

13.删除旧日志

删除指定日期之前的日志：

root@pdsyw-PC:~# journalctl --vacuum-time=2weeks

Vacuuming done, freed 0B of archived journals from /var/log/journal/1f3f131541c54d4aa00015a14910c00e.

这将删除两周之前的日志。

14.限制日志占用的空间大小：

root@pdsyw-PC:~# journalctl --vacuum-size=1G

Vacuuming done, freed 0B of archived journals from /var/log/journal/1f3f131541c54d4aa00015a14910c00e.

将日志文件的总大小限制为 1 GB。

15.通过数量限制删除日志：

root@pdsyw-PC:~# journalctl --vacuum-files=5

保留最新的 5 个日志文件，其余的将被删除。

三、其他实用命令

1.查看最近的 10 条日志：

root@pdsyw-PC:~# journalctl -n 10

2.过滤设备日志：

使用 journalctl 可以查看特定设备的日志，例如查看 /dev/sda 相关的日志：

root@pdsyw-PC:~# journalctl /dev/sda

3.查看当前用户的日志：

root@pdsyw-PC:~# journalctl _UID=$(id -u)

通过本文的介绍，您已经了解了如何使用journalctl命令在Linux系统中查看和管理日志。无论是过滤特定时间段、服务、优先级的日志，还是导出和清理日志，journalctl都为系统管理员提供了强大的日志管理能力。如果您觉得这篇文章有用，请分享和转发，同时别忘了点个关注和在看，以便未来获取更多实用的技术信息和工具教程。感谢大家的阅读，我们下次再见！