【linux】日志和journalctl 管理查看日志

已于 2024-04-11 00:32:38 修改
阅读量1.2w 收藏 25
点赞数 4
文章标签: linux 运维 服务器
于 2023-10-14 22:28:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bandaoyu/article/details/133833223
版权

目录

既看即用

简略介绍

linux 两种日志系统

 /var/log 传统日志系统

journald日志系统(systemd-journald)

dmesg 是一个工具,

journalctl是什么?(查看系统日志的工具)

区别的简单说明

journalctl -t 和 journalctl -u 

/var/log/messages 和 systemd-journald 

systemd日志(systemd-journald) 放在哪个目录

`journalctl -h` 的输出

既看即用

CentOS 7 以后版,利用Systemd 统一管理所有 Unit 的启动日志。可以只用journalctl一个命令,查看所有日志(内核日志和应用日志)

常用命令

journalctl -xe # -x 是目录(catalog)的意思,在报错的信息下会,附加解决问题的网址    -e  pager-end 从末尾开始看

从尾部开始看
journalctl -r # -r reverse ,加-r表示倒序从尾部看(推荐)

滚屏输出日志

journalctl -f
journalctl -f -n 20;  # 和tail -f 一个性质

#查看指定时间的日志
journalctl --since="2017-10-30 18:10:30"
journalctl --since "20 min ago"
journalctl --since yesterday
journalctl --since "2017-01-10" --until "2017-01-11 03:00"
journalctl --since 09:00 --until "1 hour ago"

#只看内核日志(不显示应用日志)
journalctl -k

#查看系统本次启动的日志
journalctl -b
journalctl -b -0


#查看上一次启动的日志(需更改设置)
journalctl -b -1


某用户的日志
id root;
journalctl _UID=0 -n 5


#查看指定服务的日志
journalctl /usr/lib/systemd/systemd


#查看某个 Unit 的日志
journalctl -u nginx.service
journalctl -u httpd.service   # -u  service unit

#合并显示多个 Unit 的日志

journalctl -u nginx.service -u php-fpm.service --since today

:https://blog.csdn.net/enthan809882/article/details/104551777/

#只看标记为bash的日志
journalctl -t bash

查看进程的日志

#通过进程名
journalctl -t <进程名称>

#通过进程ID

journalctl -f _PID=2121462


查看http的日志
journalctl -thttpd
配合grep 过滤
journalctl |grep -E 'bash\[|\bsh\['

#查看指定优先级(及其以上级别)的日志,共有8级

0: emerg

1: alert

2: crit

3: err

4: warning

5: notice

6: info

7: debug

journalctl -p err -b2

#日志默认分页输出,–no-pager 改为正常的标准输出

journalctl --no-pager

#日志管理journalctl

#以 JSON 格式(单行)输出

journalctl -b -u nginx.service -o json

#以 JSON 格式(多行)输出,可读性更好

journalctl -b -u nginx.serviceqq -o json-pretty

空间管理

清空 /var/log/journal 文件的方法:https://www.jianshu.com/p/a30648913fe0

#显示日志占据的硬盘空间

journalctl --disk-usage

#指定日志文件占据的最大空间

journalctl --vacuum-size=1G

journalctl --vacuum-size=500M

#指定日志文件保存多久

journalctl --vacuum-time=1years   #只保留近一年的日志
journalctl --vacuum-time=1w  #只保留近一周的日志

journalctl --vacuum-time=2d  #只保留近2天的日志

如果要手工删除日志文件,则在删除前需要先轮转一次journal日志
systemctl kill --kill-who=main --signal=SIGUSR2 systemd-journald.service
要启用日志限制持久化配置,可以修改 /etc/systemd/journald.conf
SystemMaxUse=16M
ForwardToSyslog=no
然后重启
systemctl restart systemd-journald.service
检查journal是否运行正常以及日志文件是否完整无损坏
journalctl --verify

日志的配置文件

/etc/systemd/journald.conf

更多:https://www.cnblogs.com/askword/p/14506430.html

简略介绍

linux 两种日志系统

journald日志系统 :

        在采用 systemd 的 Linux 发行版中,系统日志通常通过 journald 来管理,并且存储在 systemd 的 journal 中

传统日志系统: 

         /var/log 目录下的文件中

 /var/log 传统日志系统

 /var/log 常见的日志类型包括:

/var/log/messages 系统启动后的信息和错误日志,几乎所有的开机系统发生的错误都会在此记录;(系统日志文件:组件的消息、警告、错误,记录更高级别的系统日志信息。包括系统服务的启动和停止信息、登录和权限问题、内核模块加载和卸载等信息。)

/var/log/secure 与安全相关的日志信息

/var/log/cron 与定时任务相关的日志信息

/var/log/spooler 与UUCP和news设备相关的日志信息

/var/log/boot.log 记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息;

journald日志系统(systemd-journald)

`systemd-journald` 日志负责收集和管理整个系统的日志信息,包括内核消息、系统服务和用户级别的日志。这些日志通过 `systemd-journald` 存储为二进制格式,并位于 `/var/log/journal/` 目录下。

(journald 服务的日志通常保存在 /run/log/journal/ 目录下,但这个目录的内容可能会被清空。为了持久化保存 journal 日志,可以配置 journald 将日志转储到 /var/log/journal/ 目录下。)

总之,/var/log/*传统的文本日志文件,而 `systemd-journald` 是现代的二进制日志记录服务。与传统的日志文件相比,`systemd-journald` 提供了更强大、更灵活的日志管理和查询功能,同时还能够处理更多来源的日志信息。

dmesg 是一个工具,

 

dmesg 是一个工具,既不属于/var/log 传统日志系统 也不属于journald日志系统,dmesg 命令查看的内核消息可以被重定向或捕获到日志文件中,这取决于系统的配置和日志管理机制。

 

dmesg 启动内核产生的消息

dmesg 显示或控制内核环形缓冲区内容的,这些消息是在系统启动过程中产生的,但也可能是在系统运行过程中由内核生成的。

Linux系统中,内核产生的消息首先会被写入到内核环形缓冲区中。这些消息包括系统启动时的信息、设备驱动加载情况、硬件错误以及其他内核级别的活动。

为了持久化保存这些消息以供后续分析和调试,系统通常会配置日志守护进程来监听内核消息,并将其写入到日志文件中。这些日志文件通常位于/var/log目录下,例如/var/log/messages/var/log/syslog/var/log/kern.log等。具体的文件名和位置可能因不同的Linux发行版和日志配置而有所差异。

journalctl是什么?(查看系统日志的工具)

journalctl 是一个用于访问和管理 systemd 日志的命令行工具,可以查看和分析系统日志,以便诊断和解决问题。它可以提供有关服务、进程、启动过程和系统事件的详细信息。

systemd 日志默认存储在 `/var/log/journal/` 目录下。具体而言,系统的二进制日志文件存储在 `/var/log/journal/system.journal` 中。

在 `/var/log/journal/` 目录下,您还会找到其他文件和目录,包括:

- `system.journal~`:这是系统日志的旧版本备份文件,当系统进行日志轮转(log rotation)时,旧的 `system.journal` 文件会被重命名为此文件。

- `user` 目录:该目录包含每个用户的个人日志目录。每个用户的日志以其用户ID号命名,例如 `/var/log/journal/user/1000` 是用户ID为1000的用户的个人日志目录。

请注意,这些路径是默认设置,实际可能因为操作系统的配置和定制而有所不同。

区别的简单说明

journalctl -t 和 journalctl -u 

-t范围更窄, -u范围更广,-u指定的服务其调用或启动的进程/资源都会列出来?

journalctl -t 和 journalctl -u 是 journalctl 命令的两个不同选项,用于过滤和查看 systemd journal 中的日志。它们之间的主要区别在于过滤日志的方式和目的。

  1. journalctl -t [TAG]
    -t    --identifier` 选项允许你通过日志条目的标识符(通常是一个服务名或特定的日志标签)来过滤日志。使用这个选项,你可以查看特定服务或组件生成的日志条目。
  • 例如,如果你想要查看与 SSH 服务相关的日志,你可以使用 journalctl -t sshd 命令。这将显示所有包含 sshd 标识符的日志条目。
  1. journalctl -u [UNIT]
    -u    --unit` 选项允许你通过 systemd 的单元名称来过滤日志。systemd 单元可以是服务、套接字、设备、挂载点等。使用这个选项,你可以查看特定 systemd 单元在启动和运行期间产生的所有日志条目。
  • 例如,如果你想要查看名为 nginx.service 的服务的日志,你可以使用 journalctl -u nginx.service 命令。这将显示与 nginx.service 单元相关的所有日志条目,包括其启动日志和运行时的日志。

总结:

  • journalctl -t 是基于日志条目的标识符来过滤日志的,通常用于查看特定服务或组件的日志。
  • journalctl -u 是基于 systemd 单元名称来过滤日志的,用于查看特定 systemd 单元(如服务)的日志,包括其启动和运行时的日志。

根据你的需要,你可以选择使用合适的选项来查看你感兴趣的日志。如果你知道你想要查看的服务的 systemd 单元名称,使用 -u 选项可能更直接。如果你只知道服务的名称或日志标签,使用 -t 选项可能更合适。

/var/log/messages 和 systemd-journald 

/var/log/messages 和 systemd-journald 是两种不同的日志系统,它们各自有不同的特点和记录范围。

/var/log/messages 是传统的 Linux 系统日志文件,记录了系统运行时的各种状态消息,包括系统启动时的引导信息、IO 错误、网络错误和其他系统错误等。此外,它还记录了用户身份切换为 root 等安全相关信息。这个日志文件通常用于故障诊断和安全性分析。

systemd-journald 是 systemd 的一部分,提供了一种新的系统日志管理方式。它不仅收集来自内核、系统早期启动阶段的日志,还收集系统守护进程在启动和运行中的标准输出和错误信息。此外,它还能记录 syslog 的日志。systemd-journald 将日志集中保存在单一结构的日志文件中,并且由于日志是压缩和格式化的二进制数据,所以在查看和定位时非常迅速。然而,需要注意的是,systemd-journald 默认并不会持久化保存所有日志,只会保留一段时间的日志,具体保留时间取决于系统配置。

关于哪个记录更全,这取决于具体的系统配置和日志策略。传统的 /var/log/messages 文件记录了系统运行的广泛信息,但可能不包括 systemd 管理的服务的日志。而 systemd-journald 则能够记录更多类型的日志,包括内核日志、系统服务日志等,但它可能不会保存所有日志,特别是如果系统配置了日志轮循或清理策略。

因此,为了获得最全面的日志记录,可能需要同时查看 /var/log/messages 和 systemd-journald 的日志。同时,根据实际需求,管理员可以配置和调整日志记录策略,以确保捕获到所需的关键信息。

systemd日志(systemd-journald) 放在哪个目录

systemd 日志默认存储在 `/var/log/journal/` 目录下。具体而言,系统的二进制日志文件存储在 `/var/log/journal/system.journal` 中。

在 `/var/log/journal/` 目录下,您还会找到其他文件和目录,包括:

- `system.journal~`:这是系统日志的旧版本备份文件,当系统进行日志轮转(log rotation)时,旧的 `system.journal` 文件会被重命名为此文件。

- `user` 目录:该目录包含每个用户的个人日志目录。每个用户的日志以其用户ID号命名,例如 `/var/log/journal/user/1000` 是用户ID为1000的用户的个人日志目录。

请注意,这些路径是默认设置,实际可能因为操作系统的配置和定制而有所不同。

`journalctl -h` 的输出

```

journalctl [选项…] [过滤表达式]

查看 systemd 日志。

选项:

  -h --help                       显示此帮助信息并退出

     --version                    显示软件包版本信息

  -a --all                        显示所有可用的日志数据

  -b --boot[=ID|±N]               显示引导 ID 或相对偏移引导的日志数据

  -k --dmesg                      显示内核日志

  -c --cursor=CURSOR              使用指定的游标开始读取日志数据

  -u --unit=UNIT                  仅显示与单元/服务名称匹配的日志

                                    此选项可多次使用

  -g --grep=EXPR                  搜索日志数据中匹配的表达式

     --quiet                      减少冗长的输出

     --no-pager                   不要使用分页器

     --no-tail                    不要 `tail -f` 跟踪新的日志条目

     --output=FORMAT              设置日志输出格式

     --verify                     验证日志数据文件的完整性

     --vacuum                      清理/压缩日志存档

     --disk-usage                  显示磁盘使用情况

  -D --directory=DIRECTORY        设置日志数据文件存储目录

  -F --field=FIELD                仅显示具有指定字段的日志数据

  -n --lines[=INTEGER]            设置要显示的日志行数

  -r --reverse                    反向显示日志条目

  -e --pager-end                  加载日志的末尾并定位到最新条目

  -o --output-fields=FIELDS       设置要显示的字段列表

  -f --follow                     跟踪日志文件的变化

  -t --identifier=SYSLOG_IDENTIFIER

                                  仅显示包含给定标识符的日志条目

  -p --priority=LEVEL             仅显示具有指定优先级的日志条目

  -S --since[=TIMESTAMP]          显示在指定时间戳之后的日志

  -U --until=TIMESTAMP            显示在指定时间戳之前的日志

     --since-cursor=CURSOR        显示在指定游标之后的日志

     --until-cursor=CURSOR        显示在指定游标之前的日志

  -M --machine=CONTAINER          仅显示与给定容器匹配的日志

  -N --not                         在结果中反转条件

  -r --system                     显示系统日志

  -r --user[=USER]                 显示用户日志

  -w --wall                       当前 tty 上显示新的内核消息

     --new-mode                    在有新日志时进入新模式

     --no-rate-limit              无条件显示所有日志数据

     --no-pager-limit             显示所有条目,不受分页器限制

     --no-full                    不要进行完整性检查

     --quiet                        不要显示所有条目的详细信息

     --no-pager-quiet              禁用详细信息的分页输出

     --verify-key=keyid/subdesc    验证已签名的日志数据文件的签名

  -b --since-boot[=SPAN]          在最近的引导过程中显示日志

     --interval=INTERVAL          设置日志捕获的间隔

     --reverse                      反向按时间顺序显示

     --no-hostname                 不要打印主机名

     --no-full-field               不要打印字段描述符

     --no-header-field             不要打印消息头字段

     --output-fields-width=WIDTH   设置字段输出宽度的最佳规则

过滤表达式:

  过滤表达式可以基于日志数据属性(例如,单元)或字段(例如,MESSAGE)进行搜索。

  过滤表达式使用方括号 `[` 和 `]` 包围,并支持下列操作:

    =,  !=

    <, <=

bandaoyu
关注
  • 4
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
Linuxjournalctl查看系统与kernel日志
Android系统攻城狮
01-21 1444
1 概述 日志管理工具journalctl是centos7上专有的日志管理工具,该工具是从message这个文件里读取信息。Systemd统一管理所有Unit的启动日志。带来的好处就是,可以只用journalctl一个命令,查看所有日志(内核日志和应用日志)。日志的配置文件是/etc/systemd/journald.conf journalctl功能强大,用法非常多。本文将介绍journalctl的相关使用方法。 2 journalctl 使用方法 .查看所有日志 默认情况下,只保存本次..
linux工具-journalctl
weixin_33973609的博客
07-29 201
有时候,当linux服务启动失败的时候,系统会提示我们使用journalctl -xe命令来查询详细信息,定位服务不能启动的原因。journalctl用来查询 systemd-journald 服务收集到的日志。systemd-journald 服务是 systemd init 系统提供的收集系统日志的服务。命令格式为:journalctl [OPTIONS…] [MATC...
Linux命令详解:查询和管理linux系统日志的命令journalctl详解
最新发布
weixin_70208651的博客
06-07 1697
journalctl 是一个查询 systemd 日志的命令。systemd 是现代 Linux 发行版(如Fedora,CentOS,Ubuntu等)初始化和服务管理器,收集并管理系统的日志journalctl 允许用户查询和管理这些日志, 提供统一的接口来查询和管理包括系统日志、应用程序日志、安全日志、内核日志以及服务单元日志在内的多种类型的日志。系统管理员能方便地监控系统的运行状态和诊断问题。可以与其他 systemd 工具(如 systemctl 和 systemd-analyze)结合使用。
linux命令之journalctl详解
全栈行动派的博客
05-06 3020
journalctl命令用于检索 systemd 日志,是 CentOS 7 才有的工具。在查询报错信息时非常有用
Linux常用命令3:journalctl命令
哒宰的博客
04-23 2283
make git MQTT的使用 journalctl命令: journalctl命令是Systemd日志系统的一个命令,主要用途是用来查看通过Systemd日志系统记录的日志,在Systemd出现之前,Linux系统及各应用的日志都是分别管理的,Systemd取代了initd之后便开始统一管理了所有Unit的启动日志,可以只用一个journalctl命令,查看所有内核和应用的日志。 语法: journalctl [OPTIONS...] [MATCHES...] 参数: --no-full, --ful
journalctl命令
我是小bā吖的博客
02-24 432
journalctl命令是Systemd日志系统的一个命令,主要用途是用来查看通过Systemd日志系统记录的日志,在Systemd出现之前,Linux系统及各应用的日志都是分别管理的,Systemd取代了initd之后便开始统一管理了所有Unit的启动日志,可以只用一个journalctl命令,查看所有内核和应用的日志
journalctl是什么
m0_57236802的博客
12-29 454
journalctl是一个用于查询和显示从systemd日志管理系统(服务)收集的日志信息的工具。systemd是大多数现代 Linux 发行版的初始化系统和服务管理器,负责启动系统并管理系统进程。journalctl提供了一个统一的接口来检索各种系统和服务的日志信息。
Linux系统中的日志管理
weixin_61165327的博客
06-28 221
把系统中所有级别的日志存放到westos中,但是authpriv不存放到westos中。日志类型.日志级别 日志存放路径。当服务重启日志存放路径会被指定到/var/log/journal。系统中默认日志在:/run/log/journal中。#%FROMHOST-IP%:日志来源主机ip。配置文件:/etc/rsyslog.conf。#把系统中所有级别的日志存放到westos中。#%syslogtag%:日志生成服务。默认日志存放路径:/run/log。
Linux系统日志及分析
菲宇运维
06-21 4982
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d,默认配置文件为 /etc/syslog.conf 或 rsyslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息。 Li...
linux 查看日志命令操作
10-30
熟练掌握查看日志的命令对于系统管理、故障排查和性能优化至关重要。以下是一些常用的Linux查看日志命令及其应用: 1. **`less` 和 `more` 命令** 这两个命令用于查看文件内容,特别是大型日志文件。`less` 提供了...
linux下的日志处理
08-07
本文将深入探讨Linux日志处理的相关知识点,主要基于C/C++编程语言进行阐述。 首先,我们要了解的是标准输出(stdout)和标准错误(stderr)。在C/C++编程中,`printf`和`fprintf`函数通常用于向标准输出流写入信息...
LinuxLog.rar_ConnectBean.JAVA_linux_日志 分析 系统_日志系统_系统日志
09-24
总的来说,“LinuxLog.rar”的“ConnectBean.JAVA”是实现Linux日志采集和分析的关键组件。它封装了连接、读取、解析和处理日志的逻辑,为运维人员提供了强大的日志管理能力。了解并掌握这类工具的使用,能极大地...
journalctl-go:用于阅读 systemd 日志的 Go 客户端库
06-14
"journalctl" 是 Linux 系统中用于查看管理 systemd 日志的命令行工具,而 "journalctl-go" 则是这个工具的 Go 语言实现,旨在为 Go 开发者提供类似的日志访问功能。 **描述详解:** 描述中提到,"journalctl-go...
40道Linux日志高频题整理(附答案背诵版).md
06-04
本资源包含40道与Linux日志管理相关的高频面试题及其答案,旨在帮助准备Linux运维、系统管理员或相关岗位面试的人员进行系统性复习。这些题目涵盖了Linux日志管理的各个方面,包括日志文件的位置、日志管理工具的...
十.Linux系统中的日志管理
LinuxOs of Internet
09-07 399
一.journald 服务名称:systemd-journald.servicejournalctl 默认服务日志存放路径: /run/log (默认系统日志路径 ll -d /var/log/) (一)journalctl命令的用法 (journalctl -xe查看当前日志出现的问题,详细解决服务出现的问题) systemctl status sshd查看服务出现什么问题 journalctl -n 3 ...
Linux 日志
潜心习安全
10-24 2372
0x00 日志简介   日志的主要用途是系统审计、监测追踪和分析统计。为了保证Linux系统正常运行、准确解决遇到的各种各样的系统问题,认真地读取日志文件是管理员的一项非常重要的任务。Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。大部分Linux发行版默认的日志守护进程为syslog,位于/etc/syslog或/etc/syslogd或/...
Linux日志(实用版)
d18631089566的博客
08-08 6629
monthly //每月切割 create 0664 root utmp //切割完成之后,这个文件的权 限,以及属主和属组是谁 minsize 1M //文件超过1M之后才切割,这表示即便过了1个月, 大小没到1M,也不切割 rotate 1 //保留1个。prefotate //切割之前,执行脚本时间参数 daily //每天 weekly //每周 mounthly //每月 yearly //每年 rotate count //保存几份。create //旧日志切割后,源文件是否生成新的日志
每天学习一个Linux命令之journalctl
俞兆鹏的博客
03-26 773
journalctl是一个用于查询和管理Linux系统日志的命令行工具。它基于systemd日志守护进程()的功能,可以查看和操作收集的日志信息。这些日志信息包括内核消息、系统服务日志、用户登录和注销信息等。journalctl命令是Linux系统中一个非常强大的日志查询和管理工具。通过使用不同的选项,我们可以定位到特定的日志信息,从而帮助我们解决系统问题和进行故障排除。上述介绍了journalctl命令的一些常用选项及其用法,希望能对你在Linux系统中使用日志查询工具有所帮助。
linux查看日志
06-01
Linux 中,查看日志可以使用以下命令: 1. dmesg:查看内核日志。 2. journalctl查看系统日志。 3. tail:查看文件的尾部内容。 4. head:查看文件的头部内容。 5. less:逐页查看文件内容。 6. cat:查看整个文件内容。 7. grep:根据关键字搜索文件内容。 具体用法如下: 1. dmesg: ``` dmesg | tail # 查看最近的10条内核日志 dmesg -T # 查看内核日志并将时间戳转换为可读格式 ``` 2. journalctl: ``` journalctl # 查看系统日志 journalctl -u service_name # 查看某个服务的日志 journalctl --since "YYYY-MM-DD HH:MM:SS" # 查看某个时间点之后的日志 journalctl --since "1 hour ago" # 查看一小时内的日志 ``` 3. tail: ``` tail -f /var/log/messages # 实时查看系统日志 tail -n 50 /var/log/messages # 查看最近的50行系统日志 ``` 4. head: ``` head -n 20 /var/log/messages # 查看系统日志的前20行 ``` 5. less: ``` less /var/log/messages # 逐页查看系统日志 ``` 6. cat: ``` cat /var/log/messages # 查看整个系统日志 ``` 7. grep: ``` grep "error" /var/log/messages # 在系统日志中查找关键字"error" ```
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值