journalctl 服务教程

1. 什么是 journalctl？ 🤔💡

journalctl 是一个用于查看和管理由 Systemd 系统初始化管理的日志的命令行工具。它提供了比传统的 syslog 更强大和灵活的日志查询功能，能够显示系统、服务、应用程序以及内核的日志信息。🛠️

通过 journalctl，你可以方便地查看、过滤、分析日志，进行故障排查、性能监控等操作。📊

2. 基本用法 🧑‍💻

2.1 查看系统日志 📜

最常见的 journalctl 命令是查看整个系统的日志。运行以下命令：

journalctl

这将显示从系统启动以来的所有日志。默认情况下，日志按时间顺序显示，最旧的日志在最上面，最新的日志在下面。

2.2 查看实时日志 🕒

你可以使用 -f 选项实时查看日志，这类似于 tail -f 的功能：

journalctl -f

这会显示最新的日志条目，并且当新日志产生时会自动更新显示。

2.3 查看特定服务的日志 🔍

如果你只想查看某个服务的日志，可以使用 -u 选项指定服务的名称。例如，要查看 rsyslog 服务的日志：

journalctl -u rsyslog

如果你不想看到该服务的所有日志，也可以加上 -f 选项来实时查看：

journalctl -u rsyslog -f

2.4 查看特定时间段的日志 🕐

journalctl 支持通过时间过滤日志。你可以指定查询的时间范围。

查看今天的日志：

journalctl --since today

查看昨天的日志：

journalctl --since yesterday

查看特定日期的日志：

journalctl --since "2024-12-01" --until "2024-12-02"

你还可以使用相对时间，例如查看过去一小时的日志：

journalctl --since "1 hour ago"

2.5 查看系统引导日志 🔄

Systemd 会记录每次启动时的日志。你可以查看某次启动的日志，使用 -b 选项：

journalctl -b

如果你需要查看上一轮引导的日志，可以加上 -1：

journalctl -b -1

2.6 限制日志条目数 📝

如果你只想查看最新的日志条目，可以使用 -n 选项来限制显示的日志数量：

journalctl -n 100

这将显示最新的 100 条日志。

3. 高级查询功能 🔍

3.1 使用日志级别过滤 🔥

你可以通过 -p 选项根据日志的严重性级别过滤日志。日志级别按重要性排序，从低到高为：

emerg：紧急情况
alert：需要立即处理
crit：关键条件
err：错误
warning：警告
notice：普通信息
info：一般信息
debug：调试信息

例如，要查看所有的错误和更严重的日志，可以使用：

journalctl -p err

3.2 过滤特定进程的日志 🧑‍💻

你还可以通过 -t 选项指定进程名来过滤日志。例如，要查看与 ssh 相关的日志：

journalctl -t ssh

3.3 查看内核日志 🧑‍💻💡

如果你想查看内核日志，可以通过以下命令：

journalctl -k

3.4 使用正则表达式过滤日志 📝

journalctl 还支持正则表达式来更细致地过滤日志。例如，查看包含 "error" 字符串的日志：

journalctl | grep "error"

4. 日志持久化与日志大小管理 🗄️

默认情况下，journalctl 将日志保存在内存中。如果需要持久化日志，可以配置 systemd 将日志保存到磁盘。

4.1 启用日志持久化 📂

编辑 /etc/systemd/journald.conf 配置文件，设置 Storage=persistent：

sudo nano /etc/systemd/journald.conf

修改或取消注释如下行：

Storage=persistent

重启 systemd-journald 服务，使更改生效：

sudo systemctl restart systemd-journald

这样，日志将存储在 /var/log/journal/ 目录中。

4.2 配置日志大小限制 ⚖️

为了防止日志文件占用过多磁盘空间，可以在 /etc/systemd/journald.conf 中配置日志大小限制。以下是一些常见的配置项：

SystemMaxUse：设置系统日志的最大磁盘空间使用。
SystemKeepFree：设置系统日志磁盘空间使用的最小阈值。
RuntimeMaxUse：设置运行时日志的最大磁盘空间使用。

例如，要限制日志的最大使用空间为 500MB：

SystemMaxUse=500M

4.3 清理旧日志 🧹

journalctl 提供了命令清理旧日志，以释放磁盘空间。以下命令将删除超过 2GB 的日志：

sudo journalctl --vacuum-size=2G

你也可以按照时间限制删除日志：

sudo journalctl --vacuum-time=7d

这将删除 7 天前的日志。

5. 小结 🎉🌟

journalctl 是一个功能强大的日志管理工具，适用于 Systemd 系统中的日志查看、过滤和分析。它提供了丰富的查询功能，能够帮助管理员快速定位问题、监控系统状态、进行故障排查等操作。🚀

希望这篇教程能帮助你更好地掌握 journalctl 的使用！别忘了收藏 在线知识库（ www.zxzsk.com ）哦！😊

1. 什么是 journalctl？ 🤔💡​

2. 基本用法 🧑‍💻​

2.1 查看系统日志 📜​

2.2 查看实时日志 🕒​

2.3 查看特定服务的日志 🔍​

2.4 查看特定时间段的日志 🕐​

2.5 查看系统引导日志 🔄​

2.6 限制日志条目数 📝​

3. 高级查询功能 🔍​

3.1 使用日志级别过滤 🔥​

3.2 过滤特定进程的日志 🧑‍💻​

3.3 查看内核日志 🧑‍💻💡​

3.4 使用正则表达式过滤日志 📝​

4. 日志持久化与日志大小管理 🗄️​

4.1 启用日志持久化 📂​

4.2 配置日志大小限制 ⚖️​

4.3 清理旧日志 🧹​

5. 小结 🎉🌟​