linux工具-journalctl

最新推荐文章于 2025-09-17 15:57:29 发布
转载 最新推荐文章于 2025-09-17 15:57:29 发布 · 618 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://blog.51cto.com/11555417/2151917
文章标签:

#linux

有时候,当linux服务启动失败的时候,系统会提示我们使用journalctl -xe命令来查询详细信息,定位服务不能启动的原因。

journalctl 用来查询 systemd-journald 服务收集到的日志。systemd-journald 服务是 systemd init 系统提供的收集系统日志的服务。

命令格式为:

journalctl [OPTIONS…] [MATCHES…]

journalctl 命令的路径为:

/bin/journalctl

 

可以使用man和-h来查询详细用法

man journalctl
journal ctl -h

image.png

 

输出所有日志

    不带任何选项时,journalctl 输出所有的日志记录,没啥鸟用

 

匹配(match)

    我们可以通过 "FIELD=VALUE" 的格式来匹配具体的日志记录, 如:_SYSTEMD_UNIT=sshd.service

journalctl _SYSTEMD_UNIT=sshd.service

image.png

日志信息的定义也类似一个实体类型,具体的信息被保存在各个对应的字段中,比如 MESSAGE、MESSAGE_ID、_PID、_UID、_HOSTNAME、_SYSTEMD_UNIT 等等(通过 man 7 systemd.journal-fields 可以查看所有可用的 match 字段)。因此可以通过这些字段的内容匹配相关的日志记录:

 

可以同时添加多个字段进行匹配,它们之间是与的关系,就是同时符合多个条件的记录才会被匹配,比如添加 PRIORITY 字段的匹配条件:

journalctl _SYSTEMD_UNIT=sshd.service PRIORITY=6

image.png

 

注意各个字段的取值,比如为 PRIORITY (可以用 -p 来代替PRIORITY)设置 debug、info 是不工作的,必须设置为对应的数字。可以通过 -F 选项来查看某个字段的可选值:

image.png

0: emerg

1: alert

2: crit

3: err

4: warning

5: notice

6: info

7: debug

 

 

对同一个字段应用多个 match 条件的情况,比如:
 

journalctl _SYSTEMD_UNIT=sshd.service _SYSTEMD_UNIT=httpd.service


    此时 ,两个服务的日志都会输出过来

 

多个 match 条件的或操作

使用 "+" 号可以对多个匹配字段执行或操作: 
 

 journalctl _SYSTEMD_UNIT=sshd.servcie + _PID=28097



    上面的命令会输出 sshd.service 的日志和进程 28097 的日志。

    systemd-journald 服务收集到的日志默认保存在 /run/log 目录中,重启系统会丢掉以前的日志信息。 我们可以通过两种方式让 systemd-journald 服务把所有的日志都保存到文件中,这样重新启动后就不会丢掉以前的日志。

把日志保存到文件中

方法一:创建目录 /var/log/journal,然后重启日志服务 systemd-journald.service。
image.png

方法二:修改配置文件 /etc/systemd/journald.conf,把 Storage=auto 改为 Storage=persistent,并取消注释,然后重启日志服务 systemd-journald.service。

方法一的详细操作

在 /var/log/ 下面创建名为 journal 的目录,并设置权限即可:
 

mkdir /var/log/journal
chown root:systemd-journal /var/log/journal
chmod 2775 /var/log/journal
systemctl restart systemd-journald.service



    之后 /run/log 下面就没有 journal 的日志了,日志文件被保存在 /var/log/journal 目录下:

image.png

 

 

查看重启后的日志

journalctl --list-boots

image.png

可以看到,每次重启的信息都存在了

 

此时我们就可以通过 -b 选项来选择查看某次运行过程中的日志:
 

journalctl -b -1

image.png


 

journalctl -b 9eaabbc25fe343999ef1024e6a16fb58


下面的命令都会输出最后一次启动后的日志信息:
 

journalctl -b
journalctl -b 0

 

查看指定时间段的日志

利用 --since 与 --until 选项设定时间段,二者分别负责指定给定时间之前与之后的日志记录。时间值可以使用多种格式,比如下面的格式:

YYYY-MM-DD HH:MM:SS


如果我们要查询 2018 年 3 月 26 日下午 8:20 之后的日志:
 

journalctl --since "2018-03-26 20:20:00"


如果以上格式中的某些组成部分未进行填写,系统会直接进行默认填充。例如,如果日期部分未填写,则会直接显示当前日期。如果时间部分未填写,则缺省使用 "00:00:00"(午夜)。秒字段亦可留空,默认值为 "00",比如下面的命令:
 

journalctl --since "2018-03-26" --until "2018-03-26 03:00"



另外,journalctl 还能够理解部分相对值及命名简写。例如,大家可以使用 "yesterday"、"today"、"tomorrow" 或者 "now" 等。

比如获取昨天的日志数据可以使用下面的命令:
 

journalctl --since yesterday



要获得早上 9:00 到一小时前这段时间内的日志,可以使用下面的命令:
 

journalctl --since 09:00 --until "1 hour ago"



同时应用 match 和时间过滤条件

实际的使用中更常见的用例是同时应用 match 和时间条件,比如要过滤出某个时间段中sshd服务的日志记录:
 

journalctl _SYSTEMD_UNIT=sshd.service --since "2018-07-28" --until "2018-7-29 01:00"

 

按 unit 过滤日志

systemd 把几乎所有的任务都抽象成了 unit,因此我们可以方便的使用 -u 选项通过 unit 的名称来过滤器日志记录。查看某个 unit 的日志:

journalctl -u ssd.service
journalctl -u nginx.service --since today



还可以使用多个 -u 选项同时获得多个 unit 的日志:
 

journalctl -u nginx.service -u php-fpm.service --since today

关于journalctl 还可以参考https://www.cnblogs.com/cocowool/p/systemd_journal_log.html

详细介绍https://blog.51cto.com/13598893/2072212 

Linux系统调试-journalctl
带着耳朵取流浪的博客
11-19 314
示例: `sudo journalctl --since="2023-10-01 00:00:00" --until="2023-10-01 23:59:59"`- 说明: 查看 `2023-10-01 00:00:00` 到 `2023-10-01 23:59:59` 之间的日志。- 示例: `sudo journalctl --since="2023-10-01 00:00:00"`- 示例: `sudo journalctl --until="2023-10-01 23:59:59"`
linux采集日志 ---- journalctl与rsyslog
ly_qiu的博客
04-30 2348
对比journal与rsyslog journal 是将所有的日志都存放起来,用日志查看工具,来对我们的日志进行分析。 rsyslog 在采集的过程中,就将我们的日志分门别类的放到指定的不同类型中。 实验环境 要求:需要2台可以通信的主机,如果自己没法ping通,请参考虚拟机的网络配置先进行设置。 以我的电脑为例: xixi: 172.25.254.33 workstation: 172...
linux journalctl使用详解
skh2015java的博客
09-04 1万+
1.概述 ​ journalctl 用来查询 systemd-journald 服务收集到的日志。systemd-journald 服务是 systemd init 系统提供的收集系统日志的服务journalctl通常用来查询systemd管理的Unit的日志信息。 2.使用方法 $ man journalctl $ journalctl --help journalctl [OPTIONS…] [MATCHES…] Query the journal. Flags: –system
每天学习一个Linux命令之journalctl
俞兆鹏的博客
03-26 1129
journalctl是一个用于查询和管理Linux系统日志的命令行工具。它基于systemd日志守护进程()的功能,可以查看和操作收集的日志信息。这些日志信息包括内核消息、系统服务日志、用户登录和注销信息等。journalctl命令是Linux系统中一个非常强大的日志查询和管理工具。通过使用不同的选项,我们可以定位到特定的日志信息,从而帮助我们解决系统问题和进行故障排除。上述介绍了journalctl命令的一些常用选项及其用法,希望能对你在Linux系统中使用日志查询工具有所帮助。
零基础从头教学Linux(Day 36)
最新发布
xiaobaiyinzi的博客
09-17 1376
本文详细介绍了Linux系统中journalctl命令的使用方法。journalctl作为systemd日志系统的主要接口,可用于查询和管理系统日志。文章讲解了基础用法如查看日志、实时跟踪、过滤日志等,以及高级功能包括时间范围查询、日志轮转和持久化配置。重点说明了如何通过配置/etc/systemd/journald.conf实现日志持久化存储。同时比较journal与logrotate日志工具的区别,并提供日志满时的解决方案。最后还包含journald.conf文件的配置项解析,帮助用户更好地管理系统日志
linuxjournalctl 管理日志|dmesg 和 messages 、journalctl 区别
我的笔记本
10-14 1万+
journalctl -xe # -x 是目录(catalog)的意思,在报错的信息下会,附加解决问题的网址 -e pager-end 从末尾开始看。4. `journalctl -p priority-level`:按优先级过滤日志条目,例如 `-p err` 只显示错误级别的日志。6. `journalctl --since "YYYY-MM-DD HH:MM:SS"`:仅显示指定时间之后的日志条目。7. `journalctl --disk-usage`:显示日志存储占用情况。
Linux journalctl命令详解(journalctl指令、journal命令)(systemd服务默认日志管理工具
热门推荐
Dontla的博客
08-21 3万+
Systemd是Linux发行版的初始化系统,负责启动系统后的所有服务,并监视它们在系统运行期间的状态。Journal是Systemd的一部分,主要负责收集和存储日志数据。journalctl是Journal的主要接口,提供丰富的功能来检索和显示日志条目。它能从磁盘上的二进制文件或者其他传输目标(如syslog)获取日志。引用自“journalctl可以用来查询由systemd-journald.service(8)写入的systemd(1)日志的内容。journalctl
Linux命令(115)之journalctl
z19861216的博客
11-08 1375
linux命令之journalctl介绍
Linux命令之journalctl命令
月生的静心苑
08-10 1389
摘要: journalctl 是 systemd 日志系统的核心工具,用于高效管理二进制格式的系统日志(内核、服务、应用)。支持多维度过滤,包括按服务单元(-u)、优先级(-p)、时间范围(--since/--until)、进程/用户ID等,并支持实时监控(-f)和结构化输出(如JSON)。相比传统日志工具,它提供自动元数据标记、跨主机查询及智能清理功能(如按时间/大小清理日志),极大简化了系统故障排查和日志分析流程。典型用例包括:实时跟踪服务日志、按错误级别筛选问题、对比系统启动差异等。
深入探索Linuxjournalctl命令:系统日志的利器
听风的鱼鱼儿
06-17 965
在众多日志管理工具中,journalctl凭借其强大的功能和灵活的用法,成为了Linux系统管理员的得力助手。它基于systemd日志守护进程(systemd-journald)的功能,可以查看和操作由systemd-journald收集的日志信息。这些日志信息涵盖了内核消息、系统服务日志、用户登录和注销信息等,为系统管理员提供了丰富的数据源。通过深入了解和掌握journalctl命令,系统管理员可以更加高效地管理和分析系统日志,为系统的稳定运行和优化提供有力支持。一、journalctl是什么?
Linux系统journalctl命令详解.pdf
06-11
Linux系统中的journalctl是一个强大的命令行工具,用于查询和管理systemd日志系统。该工具提供了查看、过滤、显示日志条目的能力,以及对日志文件进行维护,它是在使用Linux系统进行问题诊断和系统监控时不可或缺的...
Linux命令详解:查询和管理linux系统日志的命令journalctl详解
weixin_70208651的博客
06-07 5960
journalctl 是一个查询 systemd 日志的命令。systemd 是现代 Linux 发行版(如Fedora,CentOS,Ubuntu等)初始化和服务管理器,收集并管理系统的日志。journalctl 允许用户查询和管理这些日志, 提供统一的接口来查询和管理包括系统日志、应用程序日志、安全日志、内核日志以及服务单元日志在内的多种类型的日志。系统管理员能方便地监控系统的运行状态和诊断问题。可以与其他 systemd 工具(如 systemctl 和 systemd-analyze)结合使用。
Linux常用命令3:journalctl命令
哒宰的博客
04-23 2621
make git MQTT的使用 journalctl命令: journalctl命令是Systemd日志系统的一个命令,主要用途是用来查看通过Systemd日志系统记录的日志,在Systemd出现之前,Linux系统及各应用的日志都是分别管理的,Systemd取代了initd之后便开始统一管理了所有Unit的启动日志,可以只用一个journalctl命令,查看所有内核和应用的日志。 语法: journalctl [OPTIONS...] [MATCHES...] 参数: --no-full, --ful
linux日志管理之journalctl命令
乐渔的博客
06-17 2952
3)journalctl 与 systemd-journald 工具会忽略日志目录中 所有后缀名不等于 “.journal” 或 “.journal~” 的文件, 其他文件 永远不会被清理。2) 以 “Runtime” 开头的选项用于限制内存使用量, 也就是 /run/log/journal 的使用量。默认:默认值是10%空间与4G空间两者中的较小者;默认:默认值是15%空间与4G空间两者中的较大者;默认:默认值是10%空间与4G空间两者中的较小者;默认:默认值是15%空间与4G空间两者中的较大者;
Linux journalctl 命令
哈尼的博客
03-19 2439
Linux journalctl命令1. journalctl 作用2. journalctl 的配置文件3. journalctl 用法3. journalctl 常用参数参考 1. journalctl 作用 查看所有日志(内核日志和 应用日志) journalctl 是 centos7 上专有的日志管理工具 2. journalctl 的配置文件 日志的配置文件 /etc/systemd/j...
Linux系统日志管理入门:journalctl命令完全指南
jks212454的博客
07-19 1205
Linux系统日志管理入门:journalctl命令完全指南
Linux系统之journalctl 命令详解
weixin_56303229的博客
08-18 1506
journalctl 是 systemd 提供的日志查看工具,用于查询系统和服务日志。支持多种过滤方式(时间、单元、优先级等),可实时跟踪日志、查看特定启动记录,并灵活控制输出格式(如 JSON、短格式等)。需注意权限限制,普通用户默认仅能访问自身日志。常用功能包括查看当前/历史启动日志(-b)、按服务过滤(-u)、实时监控(-f)等。日志存储在/var/log/journal/,可通过配置调整保留策略。该工具替代了传统的dmesg和syslog查看方式,是 systemd 生态中的核心日志管理命令。
linux命令之journalctl详解
全栈行动派的博客
05-06 3915
journalctl命令用于检索 systemd 日志,是 CentOS 7 才有的工具。在查询报错信息时非常有用
linux中, journalctl -xe命令
07-11
Linux 系统中使用 `journalctl` 命令时出现 `unrecognized option` 错误,通常是因为尝试使用的命令行选项在当前版本的 `journalctl` 中不被支持,或者拼写错误导致解析失败。`journalctl` 是 systemd 提供的日志查看工具,其功能和可用参数可能因系统版本或发行版不同而有所差异。 ### 检查 `journalctl` 支持的选项 为确认当前环境中 `journalctl` 支持哪些选项,可以使用以下命令: ```bash journalctl --help ``` 该命令会列出所有合法的参数选项及其用法说明。如果某个选项如 `-x` 或 `--xyz` 被提示为“unrecognized option”,则表示当前版本并未实现该参数[^1]。 ### 参数兼容性问题与版本更新 某些较旧版本的 `journalctl` 可能并不支持新版中引入的功能。例如,在某些早期版本中未支持 `--output-fields` 或 `--cursor` 等高级查询功能。如果需要使用新特性,建议升级 systemd 或整个操作系统至更高版本以获取最新功能支持。 ### 参数顺序与语法格式 `journalctl` 对参数顺序有一定要求,部分参数必须放在其他参数之前或之后才能被正确识别。例如: ```bash journalctl -u sshd.service -f ``` 其中 `-f` 表示持续跟踪日志输出,若将 `-f` 放在 `-u` 之前可能导致解析异常。因此确保参数顺序符合手册规定是避免此类错误的重要步骤。 ### 示例:正确使用 `journalctl -xe` 常见的调试命令 `journalctl -xe` 用于显示结构化日志并自动换行处理,便于阅读。如果此命令报错,可尝试分步执行: ```bash journalctl -x journalctl --pager-end ``` 逐一验证每个参数是否有效,有助于定位具体哪个选项不可用[^3]。 ### 替代方案与日志导出 若某些参数确实无法使用但仍需获取详细日志信息,可以通过以下方式替代: - 使用 `--since` 和 `--until` 限定时间范围输出日志 - 将日志导出为文件进行分析: ```bash journalctl --since "1 hour ago" > debug.log ``` 此外,也可以结合 `rsyslog` 或 `logrotate` 配置持久化日志记录机制,减少对 `journalctl` 实时参数的依赖[^4]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值