systemd介绍六：Journalctl查看并操作sytemd日志

一、内容简介

作为最具吸引力的优势，systemd拥有强大的处理与系统日志记录功能。在使用其它工具时，日志往往被分散在整套系统当中，由不同的守护进程及进程负责处理，这意味着我们很难跨越多种应用程序对其内容进行解读。

相比之下，systemd尝试提供一套集中化管理方案，从而统一打理全部内核及用户级进程的日志信息。这套系统能够收集并管理日志内容，而这也就是我们所熟知的journal。

Journal的实现归功于journald守护进程，其负责处理由内核、initrd以及服务等产生的信息。在今天的教程中，我们将探讨如何使用journalctl工具，并在其帮助下访问并操作journal内部的数据。

二、总体思路

Systemd journal的深层驱动力在于以集中方式管理对来自任意来源的日志信息。由于大部分引导进程都是由systemd进程处理的，因此我们有理由以标准化方式实现日志的收集与访问。其中jornald守护进程会收集全部来源的数据并将其以二进制格式加以存储，从而轻松实现动态操作。

这种作法能够实现多种收益。通过单一工具与数据交互，管理员能够以动态方式显示日志数据。另外，我们也可以轻松查看历史引导数据，或者将日志条目同其它相关服务加以结合，从而 完成通信问题调试。

将日志数据以二进制形式存储还意味着这些数据可根据需求随时以二进制输出格式显示。例如，大家可以通过标准syslog格式查看日志以实现日常管理，并在需要使用图形服务时将各条目作为JSON对象交由图形化服务处理。由于数据不会以纯文本形式被写入磁盘，因此我们无需进行任何格式转换。

大家可以将systemd journal与现有syslog方案配合使用，也可利用其替代现有syslog功能，具体取决于实际需求。尽管systemd journal足以涵盖大部分管理工作需求，但其同时也能够补充现有日志记录机制。例如，大家可以建立一套集中式syslog服务器，从而对来自多台服务器的数据进行编译；或者，我们也能够利用systemd journal将来自多项服务的日志汇总在单一系统当中。

三、设置系统时间

使用二进制journal的一大好处在于，它能够以UTC或者本地时间显示日志记录。在默认情况下，systemd会以本地时间显示结果。

有鉴于此，在我们开始使用journal之前，首先要确保时区得到正确设置。Systemd套件中还提供一款timedatectl工具，专门用于解决此类问题。

首先，利用list-timezones选项查看可用时区：

结果将列出系统上可用的全部时区。而后选择与服务器所在地相匹配的项目，并使用set-timezone选项加以设置：

sudo timedatectl set-timezone zone

为了确保我们的设备使用正确的时间，可单独使用timedatectl命令或者添加status选项。显示结果如下：

timedatectl status

第一行所示应为正确时间。

四、基础日志查看

要查看journald守护进程收集到的日志，可使用journalctl命令。

在单独使用时，系统中的每个journal条目都会被显示在单一pager中供我们浏览。条目时间越早，排列越靠前：

journalctl

大家可以一页页进行翻看，不过如果系统运行时间较长，那么systemd中的日志也将成千上万，这也证明了journal数据库中可观的数据量。

其格式与标准的syslog日志非常相似。然而，其收集数据的来源较syslog要丰富得多。其中包含有来自先前引导进程、内核、initrd以及应用程序标准错误与输出的日志。这一切都可在journal中查看到。

大家可能还注意到，全部时间戳都以本地时间为准。由于已经为系统正确设置了本地时间，所以显示的时间戳也都准确无误。

如果大家希望以UTC显示时间戳，则可使用–utc标记：

journalctl --utc