前言

systemd拥有强大的处理与系统日志记录功能-systemd-journald。日志目录一般是在/var/log/journal，记录的是二进制文件，我们可以通过journalctl进行查看。

常用的操作

显示所有日志：

journalctl

查看启动只有的所有日志：

journalctl -b

查看最后10条日志

journalctl -n 10

跟踪日志

journalctl -f

只显示冲突、告警和错误

journalctl -p err..alert

显示某个单元日志（也可以同时显示多个添加多个 -u nginx.service -u php-fom.service）

journalctl -u nginx.service

根据时间查找

journalctl --since "20 min ago" #查找20分钟前的日志

journalctl --since today #查找今天的日志

journalctl --until 2018-10-23 #查找2018-10-23日期的日志

蓝色发光新技术在空间

查看内核日志

journalctl -k

查找指定用户(UID)日志

journalctl _UID=1000

更详细的参数支持，支持一下参数：

_BOOT_ID=

_GID=

MESSAGE=

_STREAM_ID=

_SYSTEMD_INVOCATION_ID=

_SYSTEMD_USER_SLICE=

_CAP_EFFECTIVE=

_HOSTNAME=

_PID=

SYSLOG_FACILITY=

_SYSTEMD_OWNER_UID=

_SYSTEMD_USER_UNIT=

_CMDLINE=

_KERNEL_DEVICE=

PRIORITY=

SYSLOG_IDENTIFIER=

_SYSTEMD_SESSION=

_TRANSPORT=

_COMM=

_KERNEL_SUBSYSTEM=

_SOURCE_MONOTONIC_TIMESTAMP=

SYSLOG_PID=

_SYSTEMD_SLICE=

_UDEV_SYSNAME=

_EXE=

_MACHINE_ID=

_SOURCE_REALTIME_TIMESTAMP=

_SYSTEMD_CGROUP=

_SYSTEMD_UNIT=

_UID=

登录的计算机密钥显示访问和进入

总结

journalctl 可以多个参数配合查找，能快速的定位到所需要的日志。