Linuxjournalctl命令详解与使用教程

本文深入解析了Linux系统中强大的日志管理命令journalctl，它专为Systemd架构设计，能高效读取二进制日志数据，支持灵活多维的筛选方式——包括按时间（如“今天”“一小时前”或精确时间点）、服务单元（如ssh.service）、进程ID、用户UID、日志优先级（从emerg到debug）等精准过滤，并提供实时跟踪（-f）、格式化导出（文本/JSON）及智能清理（按时间或空间限制）等实用功能，是运维人员和开发者在Ubuntu 22.04等现代Linux发行版中排查故障、审计行为和优化系统日志管理不可或缺的利器。

如果您需要在基于Systemd的Linux系统中查看和分析系统日志，但发现传统的日志工具难以满足需求，则可以使用journalctl命令直接访问由systemd-journald服务收集的日志数据。以下是使用journalctl查看和管理日志的具体方法。

本文运行环境：Dell XPS 13，Ubuntu 22.04

一、查看基本日志信息

journalctl默认显示系统所有日志条目，从最旧的开始输出。它能读取二进制格式的日志文件，无需手动解析文本日志。

1、打开终端并输入journalctl，按回车执行，将列出完整的系统日志。

2、使用翻页键或鼠标滚轮浏览内容，日志按时间顺序排列，最新条目位于底部。

二、按时间范围筛选日志

通过指定时间参数，可以缩小日志查询范围，便于定位特定时间段内的事件。

1、查看今天的日志：journalctl --since today。

2、查看昨天的日志：journalctl --since yesterday --until today。

3、查看最近一小时的日志：journalctl --since "-1 hour"。

4、使用精确时间点，例如：journalctl --since "2023-10-01 10:00:00" --until "2023-10-01 11:00:00"。

三、按服务单元过滤日志

针对某个特定服务（如sshd、nginx等）查看其运行日志，有助于快速排查问题。

1、查看SSH服务日志：journalctl -u ssh.service。

2、实时跟踪服务日志变化：journalctl -u nginx.service -f，其中-f表示持续输出新日志。

3、结合时间筛选查看某服务昨日运行情况：journalctl -u cron.service --since yesterday。

四、按进程或用户ID查询日志

通过PID或UID过滤日志，可用于审计特定进程或用户的操作行为。

1、查看指定PID的日志：journalctl _PID=1234。

2、查看属于特定用户ID的日志：journalctl UID=1000。

3、查找与当前登录用户相关的会话日志：journalctl SESSION=c1（会话编号可通过loginctl list-sessions获取）。

五、按日志优先级筛选

Linux系统日志分为多个等级，使用级别过滤可聚焦关键错误信息。

1、仅显示错误及以上级别的日志：journalctl -p err。

2、查看警告信息：journalctl -p warning。

3、支持的优先级包括：emerg、alert、crit、err、warning、notice、info、debug，数值从0到7递增。

4、使用数值形式过滤，例如：journalctl -p 3 等同于 -p err。

六、导出与清理日志数据

为节省磁盘空间或进行外部分析，可将日志导出为文件或清除旧日志。

1、将全部日志保存到文本文件：journalctl > system_log.txt。

2、以JSON格式导出便于程序处理：journalctl -o json > log.json。

3、删除超过七天的日志：journalctl --vacuum-time=7d。

4、限制日志占用最大磁盘空间：journalctl --vacuum-size=500M。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。