本文共 1670 字，大约阅读时间需要 5 分钟。

1、journalctl 简介

journalctl是系统日志管理工具systemd-journald的命令行接口，主要用于查看和管理systemd日志。这类日志包括内核消息、服务日志以及用户操作相关的记录。与传统的日志文件（如/var/log/syslog）不同，journalctl提供了更便捷的日志管理功能，支持过滤、排序和导出等操作。

基本使用方法：

journalctl默认情况下会显示系统中所有日志，按时间顺序排列。通过指定匹配条件和选项，可以筛选特定时间范围、服务或事件的日志。

2、常用的journalctl命令

1. 查看全部日志

最简单的方式是直接运行journalctl命令：

journalctl

3、过滤日志

为了满足特定需求，journalctl支持多种过滤选项。例如，可以查看某个服务的日志：

journalctl -u

journalctl --since "2023-10-01 12:00:00"

4、查看日志的跟踪级别

systemd日志支持不同的跟踪级别（debug、info、notice等），可以通过指定级别来查看特定类型的日志。

journalctl --level INFO

5、导出日志

如果需要将日志导出为文件，可以使用--output选项：

journalctl --since "2023-10-01" --output /path/to/log/file.log

6、批量处理日志

对于大量日志文件，可以使用--since和--until选项来限制日期范围：

journalctl --since "2023-10-01" --until "2023-10-02"

7、查看最近的日志

可以使用--since选项查看最近的日志条目：

journalctl --since "5分钟前"

8、查看特定用户的日志

如果需要查看特定用户的日志，可以使用--user选项：

journalctl -u user_name

9、查看所有日志中的错误信息

可以使用--level错误来查看所有以错误级别或更严重的日志：

journalctl --level ERROR

10、查看日志中的警告信息

查看警告级别的日志：

journalctl --level WARNING

11、查看特定进程的日志

如果需要查看特定进程的日志，可以使用--process选项：

journalctl --process 123

12、查看多个进程的日志

可以同时查看多个进程的日志：

journalctl --processes 123 456

13、查看系统启动日志

查看系统启动过程中的日志记录：

journalctl -b

14、查看系统调试日志

查看系统调试信息的日志：

journalctl -d

15、查看用户登录日志

查看用户登录相关的日志记录：

journalctl -u user_name --since "2023-10-01"

16. 查看网络日志

如果需要查看网络相关的日志，可以使用--since选项结合特定服务名来查看：

journalctl -u NetworkManager

17. 查看容器日志

如果使用容器化技术，可以查看Docker容器的日志：

journalctl -u docker.service

18. 查看应用程序日志

查看特定应用程序的日志记录：

journalctl -u application_name

19. 查看定时任务日志

查看systemd定时任务执行的日志：

journalctl -u timer.service

20. 查看系统崩溃日志

查看系统崩溃或错误退出的日志记录：

journalctl -b --level CRITICAL

总结

journalctl是一个强大的日志查看工具，能够帮助系统管理员快速定位和解决问题。通过合理使用各种选项和过滤条件，可以查看特定时间范围、服务类型或日志级别的日志记录。

转载地址：http://bjkfk.baihongyu.com/