journalctl是systemd系统下强大的日志管理工具,可用于查看系统及服务日志;2. 常用参数包括:-u指定服务、--since/--until限定时间、-f实时跟踪、-b仅本次启动日志;3. 可通过systemctl list-units查找服务名称;4. 支持按日志级别(如-p err)和字段(如_pid)过滤;5. 默认日志不持久化,需配置/var/log/journal目录并重启systemd-journald服务实现长期保存。
在Linux系统中,查看服务日志是排查问题、监控运行状态的重要手段。而
journalctl作为systemd系统下的日志管理工具,比传统的
/var/log/messages或
/var/log/syslog更加全面和强大。它不仅能记录系统启动日志,还能查看特定服务的运行日志,甚至可以按时间、单位等条件过滤输出。
一、journalctl基础用法
最简单的使用方式就是直接输入命令:
journalctl
这样会显示系统所有的日志内容,但通常我们不会这么用,因为信息量太大。实际使用中,更常见的是加上各种参数来过滤出需要的信息。
常用参数包括:
-u
:查看指定服务的日志,比如-u nginx.service
--since
和--until
:指定时间段,如--since "1 hour ago"
或--since "2024-03-10 10:00:00"
-f
:实时跟踪日志输出(类似tail -f
)-b
:只查看本次启动的日志
举个例子,想看最近一次nginx服务的运行日志:
journalctl -u nginx.service --since "1 hour ago"
二、如何定位服务名称
使用
journalctl前,你得知道要查哪个服务名。可以通过以下命令列出所有服务单元:
systemctl list-units --type=service
找到你想看的服务名称,比如
sshd.service、
docker.service等。如果你不确定具体名字,也可以模糊查找:
systemctl list-units | grep <关键词>
例如查找与网络相关的服务:
systemctl list-units | grep network
记住服务名后,就可以结合
journalctl -u进行精准查询了。
三、实用技巧:过滤日志级别和字段
除了按服务和时间过滤,
journalctl还支持根据日志优先级来筛选内容。日志级别从0到7,数字越小表示严重性越高:
- 0: emerg(紧急)
- 1: alert(警报)
- 2: crit(严重)
- 3: err(错误)
- 4: warning(警告)
- 5: notice(通知)
- 6: info(信息)
- 7: debug(调试)
例如,只想看nginx服务中的错误日志:
journalctl -u nginx.service -p err
还可以通过字段过滤,比如PID、用户ID等:
journalctl _PID=1234 journalctl _UID=1000
这些字段可以在完整日志中看到,适合高级排查。
四、持久化保存日志(默认不保存)
默认情况下,
journalctl的日志是临时存储在内存中的(位于
/run/log/journal),重启后就会丢失。如果希望长期保留日志,需要配置持久化存储。
方法很简单:创建一个目录用于存放日志,并修改权限:
sudo mkdir -p /var/log/journal sudo systemd-tmpfiles --create --prefix /var/log/journal
之后重启
systemd-journald服务即可生效:
sudo systemctl restart systemd-journald
完成这一步后,历史日志就能保存下来了,方便后续回溯分析。
基本上就这些。掌握好
journalctl,能让你在排查Linux服务问题时事半功倍。虽然一开始看起来参数有点多,但常用的也就那么几个,熟悉之后非常顺手。
