linux下journalctl日志在哪,journalctl---系统日志

# [Linux系统管理员应该知道的journalctl知识](https://www.cnblogs.com/cocowool/p/systemd_journal_log.html)

> 在Systemd出现之前，Linux系统及各应用的日志都是分别管理的，Systemd开始统一管理了所有Unit的启动日志，这样带来的好处就是可以只用一个 journalctl命令，查看所有内核和应用的日志。

## 1\. 基础用法

### 1.1 查看所有日志(默认显示本次启动的所有日志)

~~~

[root@devops-101 ~]# journalctl

~~~

查看本次启动的所有日志也可以使用

~~~

[root@devops-101 ~]# journalctl -b

~~~

### 1.2 查看内核日志

~~~

[root@devops-101 ~]# journalctl -k

~~~

### 1.3 查看指定时间的日志

通过--since和--until选项，可以过滤任意时间限制，显示指定条件之前、之后或之间的日志。

~~~

[root@devops-101 ~]# journalctl --since="2018-09-21 10:21:00"

~~~

查询一个时间段范围内的日志。

~~~

[root@devops-101 ~]# journalctl --since="2018-09-21 10:21:00" --until="2018-09-21 10:22:00"

~~~

### 1.4 根据不同的主题进行过滤筛选

**根据服务筛选**

~~~

[root@devops-101 ~]# journalctl -u kubelet.service

[root@devops-101 ~]# journalctl -u kubelet

~~~

**根据进程ID查询**

如果进程使用了systemd托管日志，则可以通过以下命令查找进程对应的日志。

~~~

[root@devops-101 ~]# journalctl _PID=1

~~~

> Systemd journal 有很多可以用来过滤的字段，可以通过 `man systemd.journal-fields` 查看所有可以用来过滤的字段。对于用来筛选的字段，可以使用`-F`参数来查看所有可以用来过滤的值，例如`journalctl -F _PID`。

**按优先级**

操作系统提供了从0 (emerg) 到 7 (debug) 一共7个级别的日志，可以配合-p参数分别查看对应级别的日志。

~~~

[root@devops-101 ~]# journalctl -p 5 -u kubelet

~~~

7个级别的含义为

* 0: emerg

* 1: alert

* 2: crit

* 3: err

* 4: warning

* 5: notice

* 6: info

* 7: debug

### 1.5 调整显示输出

默认情况，journal输出进入分页模式，用户可以在终端上调整显示的内容，如果要不需要分页，需要加上`--no-pager`参数。

**以Json格式输出**

~~~

[root@devops-101 ~]# journalctl -p 5 --no-pager -o json

~~~

通过`-o`参数，可以设置为json格式输出，这对于其他接收json格式的日志分析工具非常友好。

~~~

[root@devops-101 ~]# journalctl -p 5 --no-pager -o json-pretty

~~~

使用`json-pretty`则对于管理员查看日志非常易读。

支持的各种格式如下：

* cat: 只显示信息字段本身。

* export: 适合传输或备份的二进制格式。

* json: 标准JSON，每行一个条目。

* json-pretty: JSON格式，适合人类阅读习惯。

* json-sse: JSON格式，经过打包以兼容server-sent事件。

* short: 默认syslog类输出格式。

* short-iso: 默认格式，强调显示ISO 8601挂钟时间戳。

* short-monotonic: 默认格式，提供普通时间戳。

* short-precise: 默认格式，提供微秒级精度。

* verbose: 显示该条目的全部可用journal字段，包括通常被内部隐藏的字段。

### 1.6 活动日志跟踪

journalctl也支持类似tail的功能，如通过`-n`参数指定显示最近的多少行，默认为10行，通过`-f`参数持续监控日志输出。

## 2\. 维护

### 2.1 查看日志占用的磁盘空间

~~~

[root@devops-101 ~]# journalctl --disk-usage

Archived and active journals take up 8.0M on disk.

~~~

### 2.2 设置日志占用的空间

~~~

root@devops-101 ~]# journalctl --vacuum-size=500M

Vacuuming done, freed 0B of archived journals on disk.

~~~

### 2.3 设置日志保存的时间

~~~

[root@devops-101 ~]# journalctl --vacuum-time=1month

Vacuuming done, freed 0B of archived journals on disk.

~~~

## 3\. 配置

上面的一些维护动作，也可以通过配置参数设置，配置文件位于`/etc/systemd/journald.conf`。

* Storage=persistent

* Compress=yes

* Seal=yes

* SplitMode=uid

* SyncIntervalSec=5m

* RateLimitInterval=30s

* RateLimitBurst=1000

* SystemMaxUse=

* SystemKeepFree=

* SystemMaxFileSize=

* RuntimeMaxUse=

* RuntimeKeepFree=

* RuntimeMaxFileSize=

* MaxRetentionSec=

* MaxFileSec=1month

* ForwardToSyslog=yes

* ForwardToKMsg=no

* ForwardToConsole=no

* ForwardToWall=yes

* TTYPath=/dev/console

* MaxLevelStore=debug

* MaxLevelSyslog=debug

* MaxLevelKMsg=notice

* MaxLevelConsole=info

* MaxLevelWall=emerg