麒麟os系统日志可通过五种方式查看:一、journalctl命令管理systemd日志;二、直接读取/var/log/下文本日志;三、dmesg查看内核日志;四、图形化日志查看器;五、last/ausearch等命令查登录与审计日志。
如果您需要在麒麟OS中定位和查看系统运行过程中的各类事件记录,则需明确日志的存储位置与对应访问方式。以下是查看麒麟OS系统日志的具体方法:
一、使用 journalctl 查看 systemd 管理的日志
journalctl 是麒麟OS基于 systemd 架构默认启用的日志收集与查询工具,所有由 systemd 启动的服务、内核消息及用户会话日志均被集中管理,支持灵活筛选与实时监控。
1、查看全部系统日志(按时间倒序排列):sudo journalctl
2、仅显示最近 100 行日志条目:sudo journalctl -n 100
3、持续监听并输出新增日志(类似 tail -f):sudo journalctl -f
4、限定查看指定服务(如 NetworkManager)的日志:sudo journalctl -u NetworkManager.service
5、只显示当前启动周期内的日志:sudo journalctl -b
6、按自然语言时间范围筛选(例如过去两小时):sudo journalctl --since "2 hours ago"
二、直接读取 /var/log/ 目录下的传统日志文件
/var/log/ 是麒麟OS中持久化存储文本日志的核心目录,包含系统启动、安全认证、包管理等多类原始日志文件,适用于离线分析或非 systemd 场景。
1、查看通用系统事件日志(桌面版常用):sudo cat /var/log/syslog
2、查看服务器版典型系统消息日志:sudo cat /var/log/messages
3、查看用户登录与权限验证相关日志:sudo cat /var/log/auth.log
4、分页浏览大容量日志以避免刷屏:sudo less /var/log/syslog
5、搜索含错误标识的关键行(不区分大小写):sudo grep -i "error\|failed\|denied" /var/log/syslog
三、调用 dmesg 查看内核环形缓冲区日志
dmesg 输出为内核启动阶段及运行时产生的底层硬件交互信息,对识别驱动加载失败、设备未识别、内存异常等低层问题具有不可替代性。
1、显示带人类可读时间戳的完整内核日志:sudo dmesg -T
2、仅输出错误(err)与警告(warn)级别消息:sudo dmesg -l err,warn
3、实时监控新出现的内核消息流:sudo dmesg -w
4、将当前内核日志导出保存至用户主目录:sudo dmesg -T > ~/kernel_log.txt
四、使用图形化日志查看器(桌面环境适用)
麒麟OS桌面版预装图形界面日志工具,提供可视化导航与关键词高亮功能,适合快速筛查登录失败、启动异常、网络中断等常见事件。
1、点击左下角“开始菜单”,在“系统工具”或“控制中心”中查找并打开日志查看器
2、在左侧导航栏选择目标日志类型,例如系统日志、启动日志、安全日志、登录日志
3、点击顶部工具栏的时间范围按钮,设定起止时间精确筛选日志条目
4、在搜索框中输入关键词(如“NetworkManager”“USB”“failed”)进行动态高亮过滤
5、右键单击某条日志条目,选择复制详细信息用于问题上报或交叉比对
五、查询用户登录历史与审计日志
用户登录行为与安全策略执行结果分别记录于独立文件,需通过专用命令或路径访问,适用于排查越权访问、异常登录或 SELinux/Auditd 策略拦截事件。
1、查看用户登录、注销及终端切换历史:sudo last
2、查看每个用户最后一次成功登录信息:sudo lastlog
3、查询当日 SELinux 访问向量冲突(AVC)事件:sudo ausearch -m avc -ts today
4、查看 KYSEC 审计子系统的主日志文件:sudo cat /var/log/audit/audit.log
5、检查软件包安装与卸载操作记录:sudo cat /var/log/dpkg.log
