journalctl 查不到服务日志,首要确认服务是否由 systemd 管理:若非 systemctl 启动,则日志不在 journal 中;应检查 unit 状态、启用 systemctl 启动、调整 Type 类型、使用 InvocationID 精准过滤、注意时间范围与输出格式,并排查直连 syslog 的例外情况。
journalctl 查不到服务启动日志?先确认服务是否用 systemd 管理
很多用户执行 journalctl -u nginx 却看不到日志,根本原因是该服务压根没交给 systemd 启动——比如手动执行 /usr/sbin/nginx 或通过旧式 init 脚本启的。systemd 只能捕获它自己 fork 出来的进程的标准输出/错误,其他方式启动的服务日志不会进 journal。
验证方法:systemctl list-unit-files --type=service | grep nginx 看状态是不是 enabled 或 disabled;再跑 systemctl is-active nginx,如果返回 unknown 或 inactive,基本可判定不是 systemd 托管。
- 若服务是手动启动的,日志通常在服务自身配置的路径里(如 Nginx 的
error_log指向/var/log/nginx/error.log) - 若想统一用 journalctl 查,得改用
systemctl start nginx启动,并确保nginx.service文件存在且正确(尤其ExecStart和Type设置) -
Type=forking服务(如老版本 Redis)容易漏日志,建议优先设为Type=simple并配合ExecStartPre做前置检查
journalctl -u 显示“no entries”,但服务明明在运行
常见于服务启动极快、随即退出(比如配置错误导致秒崩),或日志被轮转/清理过。journalctl 默认只查当前 boot 的日志,而服务可能是在上一次系统启动时拉起的。
- 加
-b -1查上一次启动的日志:journalctl -u sshd -b -1 - 加
--all强制显示所有匹配项(包括已被压缩归档的日志):journalctl -u docker --all - 检查日志保留策略:
journalctl --disk-usage看占用,/etc/systemd/journald.conf中的SystemMaxUse和MaxRetentionSec会直接删旧日志 - 若服务刚启动就崩溃,用
systemctl status nginx比 journalctl 更快看到最后一行错误(它会截取最近几行 journal 输出)
想看某次特定启动的完整日志流,怎么过滤时间范围
单纯用 -S "2024-05-20 14:00:00" 容易漏掉服务启动前的依赖单元日志(比如 network.target、local-fs.target),导致看不出卡在哪一步。
- 先用
systemctl show nginx --property=InvocationID获取本次启动的唯一 ID - 再用
journalctl _INVOCATION_ID=<em>xxx</em>(把 xxx 替成实际 ID)精准拉出该次全部日志,含依赖单元和子进程 - 时间范围推荐组合使用:
journalctl -u nginx --since "2024-05-20 14:00:00" --until "2024-05-20 14:05:00",注意--since是左闭右开区间,--until不包含终点时刻 - 避免用中文日期格式(如“今天”“昨天”),systemd 解析不稳定,尤其在非 UTF-8 locale 下可能报
Failed to parse timestamp
journalctl 输出乱码或字段缺失,跟编码/日志格式有关
某些服务(如用 Go 写的 daemon)默认以 JSON 格式打日志,journalctl 会原样显示,看着像乱码;还有些服务关闭了 syslog 格式头,导致 _PID、_COMM 等字段为空。
- 加
-o json-pretty让 JSON 日志可读:journalctl -u prometheus -o json-pretty - 用
--output-fields显式指定要显示的字段:journalctl -u mysql --output-fields=_TIMEStamp,_HOSTNAME,_MESSAGE - 如果看到大量
MESSAGE=为空的条目,大概率是服务 stdout/stderr 没刷缓存(比如 Python 脚本缺-u参数或没设sys.stdout.flush()),需改服务启动参数或代码 - 终端字符集不匹配时,
journalctl --no-hostname --no-pager可减少干扰字段,方便重定向到文件后用iconv转码
真正麻烦的是那些没走 stdout/stderr 的服务——比如用 open("/dev/log", ...) 直连 syslog socket 的,它们压根不进 journal,得去 /var/log/syslog 或 /var/log/messages 里翻。这点很容易被忽略,直到发现 journalctl 里永远缺关键报错。
