核心内容摘要
穿越时光的涟漪重温“张筱雨水上阁楼2007”的经典之恋_2
目前在大多数主流 Linux 发行版中systemd已取代传统的SysVinit成为默认的初始化系统。
其最大的优势之一在于统
高效的日志管理系统。
传统模式syslog日志分散在/var/log/下多个纯文本文件中分析时需频繁组合grep,awk,tail等命令操作繁琐。
现代模式systemd-journald日志被集中收集并以二进制格式结构化存储通过journalctl这一单一命令即可提供强大的查询、过滤和实时监控能力大大提升了系统管理员排错和审计的效率。
核心概念journaldsystemd套件中的日志收集守护进程。
它负责从内核、系统服务、应用程序等各类来源接收日志消息并写入到系统日志中。
journalctl用于与journald交互的命令行工具。
它是查询、分析和操作这些集中式日志的核心利器。
确认日志服务已启用部分桌面发行版可能默认不持久化存储日志。
请按以下步骤验证和启用1检查日志目录确认/var/log/journal/目录是否存在。
若不存在需要手动创建并设置正确权限通常系统会自动处理如下命令sudo mkdir -p /var/log/journal sudo chown root:systemd-journal /var/log/journal sudo chmod 755 /var/log/journal示例[rootyyzcdb81 ~]# mkdir -p /var/log/journal [rootyyzcdb81 ~]# chown root:systemd-journal /var/log/journal [rootyyzcdb81 ~]# chmod 755 /var/log/journal [rootyyzcdb81 ~]#2检查配置文件编辑/etc/systemd/journald.conf确保Storage选项设置为persistent永久存储[Journal] Storagepersistent3重启 journald 服务[rootyyzcdb81 ~]# systemctl restart systemd-journald [rootyyzcdb81 ~]#4验证目录是否被使用[rootyyzcdb81 ~]# ls -la /var/log/journal/ 总用量 8 drwxr-xr-x 3 root systemd-journal 46 1月 16 11:48 . drwxr-xr-x. 20 root root 4096 1月 16 11:42 .. drwxr-xr-x 2 root root 206 1月 16 11:48 763d2caf072f43a4838ece68a2b5010a [rootyyzcdb81 ~]#
基础操作查看与导航日志
1 查看完整日志journalctl默认按时间顺序从旧到新显示所有日志并使用less分页器进行浏览。
关于less的快捷键功能如下快捷键功能空格键或Page Down向下翻一页b或Page Up向上翻一页g跳转到第一行G跳转到最后一行/关键词向下搜索?关键词向上搜索n/N跳转到下一个/上一个匹配项q退出
2基本显示控制1反转顺序最新优先journalctl -r2仅查看最新 N 行journalctl -n 103禁用分页直接输出journalctl --no-page它适用于脚本中或需要重定向时。
4实时跟踪日志journalctl -f功能类似tail -f按CtrlC终止。
进阶技巧精准过滤日志journalctl的真正威力在于其强大的过滤能力。
1 按时间过滤1使用自然语言journalctl --since yesterday journalctl --since today journalctl --since 2 hours ago --until 1 hour ago2使用精确时间戳journalctl --since
09:00:00 --until
20:00:003显示 UTC 时间journalctl --utc
2 按系统组件过滤1按服务Unitjournalctl -u sshd -u nginx.service2按进程IDjournalctl _PID11113按用户/组IDjournalctl _UID1000 _GID10004仅内核消息journalctl -k
3 按优先级日志等级过滤系统日志按严重程度分为以下等级数字越小越严重优先级数字名称说明0emerg系统不可用1alert必须立即采取措施2crit严重情况3err错误4warning警告5notice普通但重要的事件6info信息性消息7debug调试信息查看特定级别及以上journalctl -p err显示所有错误、严重、警报和紧急消息查看级别范围journalctl -p warning..info或journalctl -p
.
6
4 按系统启动周期过滤1列出所有启动记录journalctl --list-boots[rootyyzcdb81 ~]# journalctl --list-boots 0 fb70ee73675940929779319e7d577041 五
02:10:49 CST—五
12:20:01 CST [rootyyzcdb81 ~]#2查看特定启动周期的日志journalctl -b -0 # 当前启动周期 journalctl -b -1 # 上一次启动周期 journalctl -b -2 # 上上次启动周期
综合应用解决实际问题的命令示例
1 查看 SSH 服务从今早开始出现的错误journalctl -u ssh --since today -p err
2 系统刚刚启动失败查看上次启动的所有内核和关键错误journalctl -b -1 -k -p crit..err
3 实时监控 Nginx 服务的访问日志info级别journalctl -u nginx -f _TRANSPORTjournal PRIORITY
6
4 经典排错命令常用于系统服务启动失败后立即查看详细的错误上下文。
journalctl -xe-e直接跳转到日志末尾。
-x提供额外的解释信息和可能的解决方案链接如果存在。
系统维护与资源管理
1 检查日志占用的磁盘空间journalctl --disk-usage[rootyyzcdb81 ~]# journalctl --disk-usage Archived and active journals take up
2
0M on disk. [rootyyzcdb81 ~]#
2清理历史日志谨慎操作# 清理早于指定时间的日志 journalctl --vacuum-time2weeks # 或将日志总体积限制到指定大小 journalctl --vacuum-size500M[rootyyzcdb81 ~]# journalctl --vacuum-time2weeks Deleted archived journal /var/log/journal/763d2caf072f43a4838ece68a2b5010a/systemec908698112d428d9c82876cf1f
de16e9c8a.journal (
1
0M). Deleted archived journal /var/log/journal/763d2caf072f43a4838ece68a2b5010a/systemec908698112d428d9c82876cf1f
b-0006467d60845bf
journal (
1
0M). Vacuuming done, freed
2
0M of archived journals on disk. [rootyyzcdb81 ~]# journalctl --disk-usage Archived and active journals take up
1
0M on disk. [rootyyzcdb81 ~]# [rootyyzcdb81 ~]# journalctl --vacuum-size500M Vacuuming done, freed 0B of archived journals on disk. [rootyyzcdb81 ~]#journalctl是 systemd 时代不可或缺的日志分析工具。
掌握其核心过滤语法按时间、服务、优先级是高效运维的关键。
对于复杂问题应善用组合过滤条件缩小排查范围。