如果您需要排查麒麟kylinos系统运行异常、服务启动失败或硬件识别问题,则需获取系统运行过程中产生的原始记录。以下是多种可行的查看系统日志的方法:
一、使用 journalctl 查看 systemd 日志
journalctl 是 systemd 系统默认的日志管理工具,可集中访问内核、服务及用户进程日志,支持时间过滤、服务限定与实时追踪。
1、查看全部系统日志(按时间倒序):sudo journalctl
2、查看最近 100 行日志:sudo journalctl -n 100
3、实时跟踪新增日志(类似 tail -f):sudo journalctl -f
4、查看指定服务(如 ssh)的日志:sudo journalctl -u ssh.service
5、查看本次启动以来的日志:sudo journalctl -b
6、按时间范围筛选(例如昨天):sudo journalctl --since yesterday
二、直接读取 /var/log/ 下的核心日志文件
传统日志文件以文本形式持久化存储,适用于离线分析或无 systemd 的兼容场景,常见路径包括 syslog、messages、auth.log 等,具体取决于发行版配置。
1、查看通用系统事件日志(桌面版常用):sudo cat /var/log/syslog
2、查看服务器版典型系统消息日志:sudo cat /var/log/messages
3、查看用户认证与登录相关日志:sudo cat /var/log/auth.log
4、分页浏览避免刷屏:sudo less /var/log/syslog
5、搜索包含“error”或“failed”的行:sudo grep -i "error\|failed" /var/log/syslog
三、调用 dmesg 查看内核环形缓冲区日志
dmesg 输出为内核启动及运行时的底层硬件交互信息,对排查驱动加载失败、设备识别异常、内存错误等至关重要。
1、显示带人类可读时间戳的内核日志:sudo dmesg -T
2、仅显示与硬件相关的紧急/错误级别消息:sudo dmesg -l err,warn
3、实时监控新出现的内核消息:sudo dmesg -w
4、将当前 dmesg 输出保存至文件供后续分析:sudo dmesg -T > ~/dmesg_output.txt
四、使用图形化日志查看器(桌面环境适用)
麒麟KYLINOS桌面版预装图形日志工具,无需记忆命令,适合快速定位登录、启动、安全类事件。
1、点击左下角“开始菜单”,在“系统工具”或“控制中心”中查找并打开日志查看器
2、在左侧导航栏选择日志类型,例如系统日志、启动日志、登录日志、安全日志
3、点击顶部工具栏的时间范围按钮,设定起止时间筛选条目
4、在搜索框中输入关键词(如“NetworkManager”“failed”“USB”)进行高亮过滤
5、右键单击某条日志,选择复制详细信息用于上报或分析
五、查询用户登录历史记录
登录行为日志独立于常规系统日志,由 wtmp 二进制文件记录,需专用命令解析,适用于审计账户活动或异常登录排查。
1、列出所有成功登录记录(含登录终端与IP):last -a
2、查看指定用户(如 user1)近7天登录情况:last user1 --since "7 days ago"
3、仅显示昨日登录记录:last --since yesterday
4、查看失败登录尝试(需 auth.log 配合):sudo grep "Failed password" /var/log/auth.log
5、统计各用户登录次数:last | awk '{print $1}' | sort | uniq -c | sort -nr
