简介

• journalctl 用来查询 systemd-journald 服务收集到的日志。
• systemd-journald 服务是 systemd init 系统提供的收集系统日志的服务。
• 命令格式为：journalctl [OPTIONS…] [MATCHES…]
• journalctl 命令的路径为：/bin/journalctl

help

通过 man page 和 -h 选项来获得最直接的帮助文档：

$ man journalctl
$ journalctl -h

输出所有的日志记录

$ sudo journalctl

匹配(match)

• 通过 "FIELD=VALUE" 的格式来匹配具体的日志记录
• 通过 man 7 systemd.journal-fields 可以查看所有可用的 match 字段,比如 MESSAGE、MESSAGE_ID、_PID、_UID、_HOSTNAME、_SYSTEMD_UNIT

输出是 user.service 服务相关的日志记录

$ journalctl _SYSTEMD_UNIT=user.service

• 可以同时添加多个字段进行匹配，它们之间是与的关系，就是同时符合多个条件的记录才会被匹配
  比如添加 PRIORITY 字段的匹配条件

$  journalctl _SYSTEMD_UNIT=cron.service PRIORITY=6

注意各个字段的取值，比如为 PRIORITY 设置 debug、info 是不工作的，必须设置为对应的数字。

• 可以通过 -F 选项来查看某个字段的可选值：

journal -F PRIORITY 

截屏2022-08-24 上午10.17.10.png

具体的对应方式如下：
0: emerg
1: alert
2: crit
3: err
4: warning
5: notice
6: info
7: debug

• 对同一个字段应用多个 match 条件的情况,比如：

$ journalctl _SYSTEMD_UNIT=user.service _SYSTEMD_UNIT=product.service

此时 user.service 和 product.service 的日志都会输出。

• 多个 match 条件的或操作,使用 "+" 号可以对多个匹配字段执行或操作：

$ journalctl _SYSTEMD_UNIT=user.service + _PID=28097

会输出 user.service 的日志和进程 28097 的日志。
更复杂的例子：

$ journalctl _SYSTEMD_UNIT=user.service _PID=28097 + _SYSTEMD_UNIT=product.service

前面的两个条件是与的关系，最后一个条件与前面的两个条件是或的关系，也就是相对于用小括号把前面的两个条件括起来。

把日志保存到文件中

systemd-journald 服务收集到的日志默认保存在 /run/log 目录中，重启系统会丢掉以前的日志信息。

通过两种方式让 systemd-journald 服务把所有的日志都保存到文件中，这样重新启动后就不会丢掉以前的日志。

• 第一种: 创建目录 /var/log/journal，然后重启日志服务 systemd-journald.service。
• 第二种: 修改配置文件 /etc/systemd/journald.conf，把 Storage=auto 改为 Storage=persistent，并取消注释，然后重启日志服务 systemd-journald.service。

• 第一种 操作步骤
  在 /var/log/ 下面创建名为 journal 的目录，并设置权限即可：

$ sudo mkdir /var/log/journal
$ sudo chown root:systemd-journal /var/log/journal
$ sudo chmod 2775 /var/log/journal
$ sudo systemctl restart systemd-journald.service

之后 /run/log 下面就没有 journal 的日志了，日志文件被保存在 /var/log/journal 目录下。
查看日志占据的磁盘空间

$ sudo journalctl --disk-usage

⚠️无论是否设置把日志存储到文件，都会得到 disk-usage。

清理日志数据

对 journal 记录进行清理，两种不同方式。

• 使用 –vacuum-size 选项
• 使用 –vacuum-time 选项

1. 如果使用 –vacuum-size 选项，则可硬性指定日志的总体体积，意味着其会不断删除旧有记录直到所占容量符合要求：

$ sudo journalctl --vacuum-size=1G

2. 如果使用 –vacuum-time 选项，任何早于这一时间点的条目都将被删除。例如，去年之后的条目才能保留：

$ sudo journalctl --vacuum-time=1years

限定日志所能占用的最高容量

通过 /etc/systemd/journald.conf 文件来配置 systemd-journald 服务的行为。
控制 systemd-journald 服务对服务器空间的消耗及保留方式。

限定日志数据可以占用的最大存储数量和日志数据体积的膨胀速度：

• SystemMaxUse=：指定journal所能使用的最高持久存储容量。
• SystemKeepFree=：指定journal在添加新条目时需要保留的剩余空间。
• SystemMaxFileSize=：控制单一journal文件大小，符合要求方可被转为持久存储。
• RuntimeMaxUse=：指定易失性存储中的最大可用磁盘容量（/run文件系统之内）。
• RuntimeKeepFree=：指定向易失性存储内写入数据时为其它应用保留的空间量（/run文件系统之内）。
• RuntimeMaxFileSize=：指定单一journal文件可占用的最大易失性存储容量（/run文件系统之内）。

查看某次启动后的日志

默认情况下 systemd-journald 服务只保存本次启动后的日志(重新启动后丢掉以前的日志)。此时 -b 选项是没啥用的。当我们把 systemd-journald 服务收集到的日志保存到文件中之后，就可以通过下面的命令查看系统的重启记录：

$ journalctl --list-boots

通过 -b 选项来选择查看某次运行过程中的日志：

$ sudo journalctl -b -1
或
$ sudo journalctl -b 9eaabbc25fe343999ef1024e6a16fb58

下面的命令都会输出最后一次启动后的日志信息：

$ sudo journalctl -b
$ sudo journalctl -b  0

查看指定时间段的日志

• 利用 --since 与 --until 选项设定时间段，二者分别负责指定给定时间之前与之后的日志记录。时间值可以使用多种格式，比如下面的格式：

YYYY-MM-DD HH:MM:SS

如果我们要查询 2022 年 01 月 01 日下午 12:00 之后的日志：

$ journalctl --since "2022-01-01 12:00:00"

• 如果以上格式中的某些组成部分未进行填写，系统会直接进行默认填充。
  例如，如果日期部分未填写，则会直接显示当前日期。
  如果时间部分未填写，则缺省使用 "00:00:00"(午夜)。
  秒字段亦可留空，默认值为 "00"，
  比如:

$ journalctl --since "2022-01-01" --until "2022-01-01 12:00"

• journalctl 还能够理解部分相对值及命名简写。
  例如，大家可以使用 "yesterday"、"today"、"tomorrow" 或者 "now" 等。
  比如获取昨天的日志数据可以使用下面的命令：

$ journalctl --since yesterday

要获得早上 9:00 到一小时前这段时间内的日志，可以使用下面的命令：

$ journalctl --since 09:00 --until "1 hour ago"

同时应用 match 和时间过滤条件

• 实际的使用中更常见的用例是同时应用 match 和时间条件
  比如要过滤出某个时间段中 cron 服务的日志记录：

$ sudo journalctl _SYSTEMD_UNIT=user.service --since "2022-05-01" --until "2022-05-30 00:00"

• 按 unit 过滤日志
  systemd 把几乎所有的任务都抽象成了 unit，因此我们可以方便的使用 -u 选项通过 unit 的名称来过滤器日志记录。
  查看某个 unit 的日志：

$ sudo journalctl -u nginx.service
$ sudo journalctl -u nginx.service --since today

还可以使用多个 -u 选项同时获得多个 unit 的日志：

$ journalctl -u nginx.service -u php-fpm.service --since today

通过日志级别进行过滤

除了通过 PRIORITY= 的方式，还可以通过 -p 选项来过滤日志的级别。 可以指定的优先级如下：

0: emerg
1: alert
2: crit
3: err
4: warning
5: notice
6: info
7: debug

$ sudo journalctl -p err

指定的是优先级的名称。

实时更新日志

与 tail -f 类似，journalctl 支持 -f 选项来显示实时的日志：

$ sudo journalctl -f

如果要查看某个 unit 的实时日志，再加上 -u 选项就可以了：

$ sudo journalctl -f -u user.service

只显示最新的 n 行

命令行选项 -n 用来控制只显示最新的 n 行日志，默认是显示尾部的最新 10 行日志：

$ sudo journalctl -n

也可以显示尾部指定行数的日志：

$ sudo journalctl -n 20

下面则是显示 user.service 服务最新的三行日志：

$ journalctl -u cron.service -n 3

查看user.service 的最小日志200行且实时更新日志

$ sudo journalctl -f -u user.service -n 200

控制输出

默认情况下，journalctl 会在 pager 内显示输出结果。
如果大家希望利用文本操作工具对数据进行处理，则需要使用标准输出。在这种情况下，我们需要使用 --no-pager 选项。

$ sudo journalctl --no-pager

这样就可以把结果重定向到我们需要的地方(一般是磁盘文件或者是文本工具)。

格式化输出的结果

如果大家需要对日志记录进行处理，可能需要使用更易使用的格式以简化数据解析工作。幸运的是，journalctl 能够以多种格式进行显示，只须添加 -o 选项即可。

-o 选项支持的类型如下：

• short :这是默认的格式，即经典的 syslog 输出格式。
• short-iso :与 short 类似，强调 ISO 8601 时间戳。
• short-precise :与 short 类似，提供微秒级精度。
• short-monotonic :与 short 类似，强调普通时间戳。
• verbose :显示全部字段，包括通常被内部隐藏的字段。
• export :适合传输或备份的二进制格式。
• json :标准 json 格式，每行一条记录。
• json-pretty :适合阅读的 json 格式。
• json-sse :经过包装可以兼容 server-sent 事件的 json 格式。
• cat :只显示信息字段本身。

比如要以 json 格式输出 user.service 的最后一条日志：

$ sudo journalctl -u user.service -n 1 --no-pager -o json

而 json-pretty 的格式为：

$ sudo journalctl -u user.service -n 1 --no-pager -o json-pretty

按可执行文件的路径过滤

如果在参数中指定某个可执行文件(二进制文件或脚本文件)，则 journalctl 会显示与该可执行文件相关的全部条目。
比如可以显示 /usr/lib/systemd/systemd 程序产生的日志：

$ sudo journalctl /usr/lib/systemd/systemd

也可以显示 /usr/bin/bash 程序产生的日志：

$ sudo journalctl /usr/bin/bash

查看内核日志

如果我们需要查看内核日志，可以指定 -k 选项，这样输出的结果中就只有内核日志了。-k 选项是通过 -b 选项加上匹配条件 "_TRANSPORT=kernel" 实现的。下面是基本的用法：

$ sudo journalctl -k

来源