Linux使用journalctl命令进行日志分析和管理全过程
更新时间:2026年01月29日 14:33:24 作者:遇见火星
这篇文章主要介绍了Linux使用journalctl命令进行日志分析和管理全过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
目前,在大多数主流 Linux 发行版中,systemd 已取代传统的 SysVinit 成为默认的初始化系统。其最大的优势之一在于统一、高效的日志管理系统。
- 传统模式(syslog):日志分散在
/var/log/下多个纯文本文件中,分析时需频繁组合grep,awk,tail等命令,操作繁琐。 - 现代模式(systemd-journald):日志被集中收集并以二进制格式结构化存储,通过
journalctl这一单一命令,即可提供强大的查询、过滤和实时监控能力,大大提升了系统管理员排错和审计的效率。
1.核心概念
- journald:
systemd套件中的日志收集守护进程。它负责从内核、系统服务、应用程序等各类来源接收日志消息,并写入到系统日志中。 - journalctl:用于与
journald交互的命令行工具。它是查询、分析和操作这些集中式日志的核心利器。
2.确认日志服务已启用
部分桌面发行版可能默认不持久化存储日志。请按以下步骤验证和启用:
(1)检查日志目录
确认 /var/log/journal/ 目录是否存在。若不存在,需要手动创建并设置正确权限(通常系统会自动处理),如下命令:
sudo mkdir -p /var/log/journal sudo chown root:systemd-journal /var/log/journal sudo chmod 755 /var/log/journal
示例:
[root@yyzcdb81 ~]# mkdir -p /var/log/journal [root@yyzcdb81 ~]# chown root:systemd-journal /var/log/journal [root@yyzcdb81 ~]# chmod 755 /var/log/journal [root@yyzcdb81 ~]#
(2)检查配置文件
编辑 /etc/systemd/journald.conf,确保 Storage= 选项设置为 persistent(永久存储):
[Journal] Storage=persistent
(3)重启 journald 服务
[root@yyzcdb81 ~]# systemctl restart systemd-journald [root@yyzcdb81 ~]#
(4)验证目录是否被使用
[root@yyzcdb81 ~]# ls -la /var/log/journal/ 总用量 8 drwxr-xr-x 3 root systemd-journal 46 1月 16 11:48 . drwxr-xr-x. 20 root root 4096 1月 16 11:42 .. drwxr-xr-x 2 root root 206 1月 16 11:48 763d2caf072f43a4838ece68a2b5010a [root@yyzcdb81 ~]#
3.基础操作:查看与导航日志
3.1 查看完整日志
journalctl
默认按时间顺序(从旧到新)显示所有日志,并使用 less 分页器进行浏览。
关于 less 的快捷键功能如下:
| 快捷键 | 功能 |
|---|---|
| 空格键 或 Page Down | 向下翻一页 |
| b 或 Page Up | 向上翻一页 |
| g | 跳转到第一行 |
| G | 跳转到最后一行 |
| /关键词 | 向下搜索 |
| ?关键词 | 向上搜索 |
| n / N | 跳转到下一个/上一个匹配项 |
| q | 退出 |
3.2基本显示控制
(1)反转顺序(最新优先):
journalctl -r
(2)仅查看最新 N 行:
journalctl -n 10
(3)禁用分页,直接输出:
journalctl --no-page
它适用于脚本中或需要重定向时。
(4)实时跟踪日志:
journalctl -f
功能类似 tail -f,按 Ctrl+C 终止。
4.进阶技巧:精准过滤日志
journalctl 的真正威力在于其强大的过滤能力。
4.1 按时间过滤
(1)使用自然语言:
journalctl --since "yesterday" journalctl --since "today" journalctl --since "2 hours ago" --until "1 hour ago"
(2)使用精确时间戳:
journalctl --since "2026-01-14 09:00:00" --until "2026-01-15 20:00:00"
(3)显示 UTC 时间:
journalctl --utc
4.2 按系统组件过滤
(1)按服务(Unit)
journalctl -u sshd -u nginx.service
(2)按进程ID
journalctl _PID=1111
(3)按用户/组ID
journalctl _UID=1000 _GID=1000
(4)仅内核消息
journalctl -k
4.3 按优先级(日志等级)过滤
系统日志按严重程度分为以下等级(数字越小越严重):
| 优先级数字 | 名称 | 说明 |
|---|---|---|
0 | emerg | 系统不可用 |
1 | alert | 必须立即采取措施 |
2 | crit | 严重情况 |
3 | err | 错误 |
4 | warning | 警告 |
5 | notice | 普通但重要的事件 |
6 | info | 信息性消息 |
7 | debug | 调试信息 |
- 查看特定级别及以上:
journalctl -p err(显示所有错误、严重、警报和紧急消息) - 查看级别范围:
journalctl -p warning..info或journalctl -p 4..6
4.4 按系统启动周期过滤
(1)列出所有启动记录:
journalctl --list-boots
[root@yyzcdb81 ~]# journalctl --list-boots 0 fb70ee73675940929779319e7d577041 五 2025-12-19 02:10:49 CST—五 2026-01-16 12:20:01 CST [root@yyzcdb81 ~]#
(2)查看特定启动周期的日志:
journalctl -b -0 # 当前启动周期 journalctl -b -1 # 上一次启动周期 journalctl -b -2 # 上上次启动周期
5.综合应用:解决实际问题的命令示例
5.1 查看 SSH 服务从今早开始出现的错误
journalctl -u ssh --since "today" -p err
5.2 系统刚刚启动失败
查看上次启动的所有内核和关键错误
journalctl -b -1 -k -p crit..err
5.3 实时监控 Nginx 服务的访问日志(info级别)
journalctl -u nginx -f _TRANSPORT=journal PRIORITY=6
5.4 经典排错命令
常用于系统服务启动失败后,立即查看详细的错误上下文。
journalctl -xe
-e:直接跳转到日志末尾。-x:提供额外的解释信息和可能的解决方案链接(如果存在)。
6.系统维护与资源管理
6.1 检查日志占用的磁盘空间
journalctl --disk-usage
[root@yyzcdb81 ~]# journalctl --disk-usage Archived and active journals take up 272.0M on disk. [root@yyzcdb81 ~]#
6.2清理历史日志(谨慎操作)
# 清理早于指定时间的日志 journalctl --vacuum-time=2weeks # 或将日志总体积限制到指定大小 journalctl --vacuum-size=500M
[root@yyzcdb81 ~]# journalctl --vacuum-time=2weeks Deleted archived journal /var/log/journal/763d2caf072f43a4838ece68a2b5010a/system@ec908698112d428d9c82876cf1f78404-0000000000000001-0006463de16e9c8a.journal (128.0M). Deleted archived journal /var/log/journal/763d2caf072f43a4838ece68a2b5010a/system@ec908698112d428d9c82876cf1f78404-000000000002392b-0006467d60845bf4.journal (128.0M). Vacuuming done, freed 256.0M of archived journals on disk. [root@yyzcdb81 ~]# journalctl --disk-usage Archived and active journals take up 16.0M on disk. [root@yyzcdb81 ~]# [root@yyzcdb81 ~]# journalctl --vacuum-size=500M Vacuuming done, freed 0B of archived journals on disk. [root@yyzcdb81 ~]#
journalctl 是 systemd 时代不可或缺的日志分析工具。
掌握其核心过滤语法(按时间、服务、优先级)是高效运维的关键。对于复杂问题,应善用组合过滤条件缩小排查范围。
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
有时候开多个站点下面是具体的配置参数,大家看下,应该就可以自由的增加网站了。2009-08-08
这篇文章主要给大家介绍了关于ubuntu定时执行python脚本的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用ubuntu具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧2019-04-04
在Linux系统中,Docker容器中的文件路径与宿主机上的文件系统是隔离的,因此我们不能直接使用宿主机的文件系统路径来访问容器内的文件,但是,有几种方法可以让我们获取或操作Docker容器中的文件,本文介绍的非常详细,需要的朋友可以参考下2024-11-11
CloudStack是一个开源的具有高可用性及扩展性的云计算平台。接下来通过本文给大家介绍CentOS6.6安装CloudStack4.8的方法,感兴趣的朋友一起看看吧2016-10-10
这篇文章主要介绍了Linux 下的五种 IO 模型详细介绍的相关资料,需要的朋友可以参考下2016-10-10
本文概述Linux权限掩码、SUID/SGID设置及通配符(如~、.、..)与引号(单/双引号)的使用区别,结合应用案例与练习题,帮助理解文件目录权限控制和命令字符串处理技巧2025-08-08
经常在 Linux 环境下搭建 php 环境,在 windows 下还是第一次,没啥技术含量,就是记录一下,需要的朋友参考下本教程2017-01-01
ubuntu执行sudo apt-get update要很久的解决方案
Ubuntu更新缓慢或报错因默认使用外国镜像,可通过更换国内源(如阿里云、华为云、清华等)或选择最佳服务器优化,操作包括修改下载源、授权、重新载入,提升下载速度和稳定性2025-09-09
本文介绍linux服务器配置之如何搭建NFS服务器,供大家学习参考2013-02-02
在CentOS 6 中安装WordPress(一) 安装Apache,Mysql, PHP环境
最近做个项目,拿到一台CentOS 6服务器,需要在上面配置php环境,并安装WordPress,我们先来看看第一步,配置AMP(Apache,Mysql, PHP)环境2014-06-06
最新评论