Linux Systemd | journalctl 日志管理 / 查看 / 分析

斐夷所非

已于 2025-02-21 14:22:04 修改

阅读量2.6k

点赞数 13

分类专栏： Linux 文章标签： journalctl

于 2024-11-19 12:43:04 首次发布

本文链接：https://blog.csdn.net/u013669912/article/details/143194633

版权

注：本文为 “journalctl 日志管理 / 查看 / 分析” 相关文章合辑。

未整理去重。

systemd / journald / journalctl

systemd

systemd 是 linux 系统中的核心组件，负责系统和服务的管理，涵盖启动、监控和管理进程等功能。它集成了 journald 作为日志管理组件，自身不直接生成日志，而是依靠 journald 来收集和存储系统日志。

journald

journald 替代了传统的 syslog，提供了一种更结构化且高效的日志记录方式。作为 systemd 的日志服务组件，它负责收集来自内核、系统服务以及应用程序的日志消息，并以二进制格式存储在 /var/log/journal/ 目录下。

journald 的特点：

统一管理：将系统各部分的日志集中存储，便于管理和维护。
高效检索：利用 B-trees 索引，实现快速检索日志，提高工作效率。
资源占用小：在内存和存储资源占用方面，相比传统日志系统更具优势，更加高效。
日志持久化：支持日志的持久化存储，并且具备自动轮转功能，确保日志的长期保存和合理管理。

journalctl

journalctl 是与 journald 交互的命令行工具，主要用于查看、过滤、搜索和分析日志。

journalctl 的使用方法：

查看特定服务的日志：journalctl -u <service_name>
按时间范围过滤：journalctl --since "yyyy-mm-dd" --until "yyyy-mm-dd"
查看特定启动的日志：journalctl -b <boot_id>
显示日志的详细解释：journalctl -x
……

systemd 通过集成 journald 来管理日志系统，而 journalctl 作为工具用于检索和分析日志。这些组件共同构成了一个高效、统一的日志管理系统，为 linux 系统的日志管理提供了有力支持。

使用 journalctl 查看和分析 systemd 日志（附实例）

作者：Arindam 译者：LCTT insidentally 2023-02-16 08:52

在系统管理中，日志管理是一项至关重要的任务。它不仅关乎系统的稳定运行，还对于故障排查、性能分析以及安全审计等方面起着关键作用。

本指南介绍了 systemd 的 journalctl 工具及其各种命令的基础知识。可以使用这些命令对 Linux 中的桌面和服务器日志进行故障诊断。

以下是如何使用 journalctl 查看和分析 systemd 日志的不同例子。

简介

很多人说 systemd 不好，它对系统的影响很大，这也是一个有争议的话题。但不能否认的是，它提供了一套完善的工具来管理和排除系统故障。想象一下，当遇到一个没有 GUI 的损坏系统时，可能会把启动和 GRUB 弄得一团糟。在这种情况下，可以从一个立付Live系统启动，挂上 Linux 分区，然后浏览 systemd 的日志，找出问题所在。

systemd 有三个基本组件，如下所示：

systemd：Linux 操作系统的系统和服务管理器。
systemctl ：该命令用于反观和控制 systemd 系统和服务管理器的状态。
systemd-analyze：该命令提供系统启动时的性能统计，并从系统和服务管理器中检索其他状态和跟踪信息。

除了这三个服务外，systemd 还提供其他服务，如 journald、logind、networkd 等。在本指南中，我们将讨论 systemd 的 journald 服务。

journald - systemd 日志服务

根据设计，systemd 提供了一个集中的方式来处理所有来自进程、应用程序等的操作系统日志。所有这些日志事件都由 systemd 的 journald 守护进程来处理。journald 守护进程收集所有来自 Linux 操作系统各处的日志，并将其作为二进制数据存储在文件中。

以二进制数据集中记录事件、系统问题的好处有很多。例如，由于系统日志是以二进制而不是文本形式存储的，可以以文本、JSON 对象等多种方式进行转译，以满足各种需求。另外，由于日志是按顺序存储的，通过对日志的日期/时间操作，超级容易追踪到单个事件。

请记住，journald 收集的日志文件数以千行计，而且不断更新每次开机、每个事件。因此，如果有一个长期运行的 Linux 操作系统，日志的大小应该以 GB 为单位。由于有着数以千计的日志，最好用基本命令进行过滤，以了解更多系统问题。

journald 配置文件

journald 的配置文件存在于以下路径中。它包含了关于如何进行日志记录的各种标志。可以看一下这个文件，并进行必要的修改。但我建议不要修改这个文件，除非知道自己在做什么。

/etc/systemd/journald.conf

journald 存储二进制日志文件的地方

journald 以二进制格式存储日志。它们被保存在这个路径下的一个目录中：

/var/log/journal

例如，在下面的路径中，有一个目录包含了迄今为止的所有系统日志。

journalctl log file path

journalctl log file path

不要使用 cat 命令，也不要使用 nano 或 vi 来打开这些文件。它们（是二进制的），无法正常显示。

使用 journalctl 来查看和分析 systemd 日志

journald 基本命令

查看 journald 日志的基本命令是：

journalctl

journalctl
该命令提供了所有应用程序和进程的日志条目，包括错误、警告等。它显示的列表中，最旧的日志在顶部，当前的日志在底部。需要不断按回车键来逐行滚动浏览。也可以使用 PAGE UP 和 PAGE DOWN 键来滚动。按 q 键可以退出这个视图。

以不同时区的时间查看日志条目

默认情况下，journalctl 以当前系统时区显示日志的时间。然而，可以很容易地在命令中提供时区，将同一日志转换为不同的时区。例如，要以 UTC 查看日志，请使用以下命令：

journalctl --utc

journalctl --utc

只查看日志中的错误、警告等信息

系统产生的日志有不同的优先级。有些日志可能是可以忽略的警告，有些可能是重要的错误。可能想只看错误，不看警告。这也可以用下面的命令来实现。

要查看紧急系统信息，请使用：

journalctl -p 0

journalctl -p 0
错误代码：

0: 紧急情况
1: 警报
2: 危急
3: 错误
4: 警告
5: 通知
6: 信息
7：调试

当指定错误代码时，它显示该等级及更高的所有信息。例如，如果指定下面的命令，它会显示所有优先级为 2、1 和 0 的信息：

journalctl -p 2

查看特定启动的日志

当运行 journalctl 命令时，它会显示当前启动的信息，即正在运行的会话中的信息。但也可以查看过去的启动信息。

在每次重启时，日志都会持续更新。journald 会记录不同启动时的日志。要查看不同启动时的日志，请使用以下命令。

journalctl --list-boots

journalctl list-boots

第一个数字显示的是 journald 的唯一的启动跟踪号码，可以在下一个命令中使用它来分析该特定的启动。
第二个数字是启动 ID，也可以在命令中指定。
接下来的两个日期、时间组合是存储在相应文件中的日志的时间。如果想找出某个特定日期、时间的日志或错误，这就非常方便了。

要查看一个特定的启动号码，可以选择第一个启动跟踪号码或启动 ID，如下所示。

journalctl -b -45
journalctl -b 8bab42c7e82440f886a3f041a7c95b98

journalctl -b 45
也可以使用 -x 选项，在显示屏上添加 systemd 错误信息的解释。在某些情况下，这是个救命稻草。

journalctl -xb -p 3

journalctl -xb

查看某一特定时间、日期的日志记录

journalctl 功能强大，可以在命令中提供类似英语的参数，用于时间和日期操作。

可以使用 --since 选项与 yesterday、today、tomorrow 或 now 组合。

下面是一些不同命令的例子。可以根据需要修改它们。它们是不言自明的。以下命令中的日期、时间格式为 "YYYY-MM-DD HH:MM:SS"

journalctl --since "2020-12-04 06:00:00"
journalctl --since "2020-12-03" --until "2020-12-05 03:00:00"
journalctl --since yesterday
journalctl --since 09:00 --until "1 hour ago"

journalctl --since 09:00 --until
也可以将上述内容与错误级别开关结合起来。

查看内核特定的日志记录

Linux 内核信息也可以从日志中提取出来。要查看当前启动时的内核信息，请使用以下命令：

journalctl -k

查看某个服务、PID 的日志

可以从 journald 日志中过滤出某个 systemd 服务单元的特定日志。例如，如果要查看 NetworkManager 服务的日志，请使用下面的命令。

journalctl -u NetworkManager.service

journalctl NetworkManager service

如果不知道服务名称，可以使用下面的命令来列出系统中的 systemd 服务。

systemctl list-units --type=service

查看用户、组的日志

如果正在分析服务器日志，在多个用户登录的情况下，这个命令很有帮助。可以先用下面的命令从用户名中找出用户的 ID。例如，要找出用户 bob 的 ID：

id -u bob

然后使用 _UID 选项指定该 ID 与来查看该用户产生的日志。

journalctl _UID=1000 --since today

journalctl _UID

同样地，使用 _GID 选项也可以查到用户组的情况。

查看一个可执行文件的日志

也可以查看某个特定程序或可执行文件的日志。例如，如果想找出 gnome-shell 的信息，可以运行以下命令。

journalctl /usr/bin/gnome-shell --since today

journalctl gnome-shell

结束语

本指南能帮助使用 journalctl 查看分析 Linux 桌面或服务器上的 systemd 日志，排除故障。

如果知道如何使用这些命令，systemd 日志管理的功能非常强大，它能让在调试时的生活变得轻松一些。

现在所有主流的 Linux 发行版都使用 systemd。Ubuntu、Debian、Fedora、Arch 它们都使用 systemd 作为其默认的操作系统组件。如果想了解不使用 systemd 的 Linux发行版，可能想看看 MX-Linux、Gentoo、Slackware、Void Linux。

如何使用 Journalctl 查看并操作 Systemd 日志

ZStack 云计算于 2017-02-21 09:22:10 发布

内容简介

作为最具吸引力的优势，systemd 拥有强大的处理与系统日志记录功能。在使用其它工具时，日志往往被分散在整套系统当中，由不同的守护进程及进程负责处理，这意味着我们很难跨越多种应用程序对其内容进行解读。

相比之下，systemd 尝试提供一套集中化管理方案，从而统一打理全部内核及用户级进程的日志信息。这套系统能够收集并管理日志内容，而这也就是我们所熟知的 journal。

Journal 的实现归功于 journald 守护进程，其负责处理由内核、initrd 以及服务等产生的信息。在今天的教程中，我们将探讨如何使用 journalctl 工具，并在其帮助下访问并操作 journal 内部的数据。

总体思路

Systemd journal 的深层驱动力在于以集中方式管理对来自任意来源的日志信息。由于大部分引导进程都是由 systemd 进程处理的，因此我们有理由以标准化方式实现日志的收集与访问。其中 jornald 守护进程会收集全部来源的数据并将其以二进制格式加以存储，从而轻松实现动态操作。

这种作法能够实现多种收益。通过单一工具与数据交互，管理员能够以动态方式显示日志数据。另外，我们也可以轻松查看历史引导数据，或者将日志条目同其它相关服务加以结合，从而完成通信问题调试。

将日志数据以二进制形式存储还意味着这些数据可根据需求随时以二进制输出格式显示。例如，大家可以通过标准 syslog 格式查看日志以实现日常管理，并在需要使用图形服务时将各条目作为 JSON 对象交由图形化服务处理。由于数据不会以纯文本形式被写入磁盘，因此我们无需进行任何格式转换。

大家可以将 systemd journal 与现有 syslog 方案配合使用，也可利用其替代现有 syslog 功能，具体取决于实际需求。尽管 systemd journal 足以涵盖大部分管理工作需求，但其同时也能够补充现有日志记录机制。例如，大家可以建立一套集中式 syslog 服务器，从而对来自多台服务器的数据进行编译；或者，我们也能够利用 systemd journal 将来自多项服务的日志汇总在单一系统当中。