如何查看服务日志信息 journalctl日志查询技巧

要高效使用 journalctl 查看服务日志，1. 使用 -u 参数查看特定服务日志，如 journalctl -u nginx.service；2. 使用 --since 和 --until 按时间范围过滤日志，如 journalctl --since "2023-10-26 00:00:00" --until "2023-10-26 12:00:00"；3. 使用 -f 实时监控日志，如 journalctl -u nginx.service -f；4. 使用 -p 按优先级过滤，如 journalctl -p err；5. 使用 -k 查看内核日志，使用 \_pid= 查看指定进程日志；6. 配置 /var/log/journal 目录和 journald.conf 实现持久化存储与大小控制；7. 使用 --no-pager、--full、输出到文件等方式解决日志显示不全问题；8. 分析服务启动失败时，结合 -u、--since 和 -p 查找错误信息；9. 监控系统安全可通过 -t auditd、-u sshd.service 及结合 ps 查异常进程等方法实现。

服务日志信息对于诊断问题、监控系统状态至关重要。

journalctl

使用

journalctl

服务日志查看：如何高效使用 journalctl？

journalctl

解决方案

最基础的用法是直接输入

journalctl

• 查看特定服务的日志： 使用

  -u

  登录后复制
  参数指定服务名称，例如

  journalctl -u nginx.service

  登录后复制

  登录后复制
  。这将只显示 Nginx 服务的日志。

• 按时间过滤日志： 使用

  --since

  登录后复制

  登录后复制
  和

  --until

  登录后复制
  参数指定时间范围。例如

  journalctl --since "2023-10-26 00:00:00" --until "2023-10-26 12:00:00"

  登录后复制
  将显示 2023年10月26日0点到12点之间的所有日志。也可以使用相对时间，如

  --since yesterday

  登录后复制
  或

  --since "2 hours ago"

  登录后复制
  。

• 实时监控日志： 使用

  -f

  登录后复制
  参数可以实时追踪日志，类似于

  tail -f

  登录后复制
  。例如

  journalctl -u nginx.service -f

  登录后复制
  会实时显示 Nginx 服务的日志。

• 按优先级过滤日志： 使用

  -p

  登录后复制
  参数指定优先级。优先级从低到高依次为

  debug

  登录后复制
  ,

  info

  登录后复制
  ,

  notice

  登录后复制
  ,

  warning

  登录后复制
  ,

  err

  登录后复制
  ,

  crit

  登录后复制
  ,

  alert

  登录后复制
  ,

  emerg

  登录后复制
  。例如

  journalctl -p err

  登录后复制
  只显示错误级别的日志。

• 查看内核日志： 使用

  -k

  登录后复制
  参数可以查看内核日志。例如

  journalctl -k

  登录后复制
  。

• 查看指定 PID 的日志： 使用

  _PID=

  登录后复制
  参数指定进程 ID。例如

  journalctl _PID=1234

  登录后复制
  。

• 持久化存储： 默认情况下，

  journalctl

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制
  使用内存存储日志，重启后会丢失。要持久化存储日志，需要确保

  /var/log/journal

  登录后复制
  目录存在。如果不存在，创建它并重启

  systemd-journald

  登录后复制

  登录后复制
  服务。

• 日志文件大小限制：

  journalctl

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制
  的日志文件大小可以通过

  /etc/systemd/journald.conf

  登录后复制

  登录后复制
  文件进行配置。常用的配置项包括

  SystemMaxUse

  登录后复制
  (日志文件总大小) 和

  SystemKeepFree

  登录后复制
  (系统盘保留空间)。

如何解决 journalctl 日志不显示完整的问题？

有时候，

journalctl

• 使用

  --no-pager

  登录后复制

  登录后复制
  参数： 默认情况下，

  journalctl

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制
  会使用

  less

  登录后复制
  等分页器来显示日志。使用

  --no-pager

  登录后复制

  登录后复制
  参数可以禁用分页器，直接将所有日志输出到终端。这样可以避免因为分页器导致的截断问题。例如

  journalctl -u nginx.service --no-pager

  登录后复制
  。

• 使用

  --full

  登录后复制

  登录后复制
  参数：

  --full

  登录后复制

  登录后复制
  参数可以强制

  journalctl

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制
  显示完整的日志，即使日志很长。例如

  journalctl -u nginx.service --full

  登录后复制
  。

• 调整终端窗口大小： 尽可能增大终端窗口，以便完整显示一行日志。

• 将日志输出到文件： 将日志输出到文件，然后使用文本编辑器查看。例如

  journalctl -u nginx.service > nginx.log

  登录后复制
  。

• 检查

  systemd-journald

  登录后复制

  登录后复制
  配置： 检查

  /etc/systemd/journald.conf

  登录后复制

  登录后复制
  文件，确保

  LineMax

  登录后复制

  登录后复制
  参数的值足够大。

  LineMax

  登录后复制

  登录后复制
  参数定义了单行日志的最大长度。

如何使用 journalctl 分析服务启动失败的原因？

服务启动失败通常会在日志中留下线索。

journalctl

• 查看启动失败服务的日志： 使用

  journalctl -u <service_name>.service

  登录后复制
  命令查看启动失败服务的日志。例如

  journalctl -u nginx.service

  登录后复制

  登录后复制
  。

• 按时间过滤： 使用

  --since

  登录后复制

  登录后复制
  参数过滤出服务启动时间附近的日志。例如，如果 Nginx 在 10:00 启动失败，可以使用

  journalctl -u nginx.service --since "10:00 - 5 minutes" --until "10:00 + 5 minutes"

  登录后复制
  命令查看 9:55 到 10:05 之间的日志。

• 查找错误和警告信息： 使用

  -p err

  登录后复制
  和

  -p warning

  登录后复制
  参数过滤出错误和警告级别的日志。例如

  journalctl -u nginx.service -p err

  登录后复制
  。

• 关注关键错误信息： 仔细阅读日志，查找包含 "error"、"failed"、"cannot" 等关键词的错误信息。这些信息通常会指出服务启动失败的原因。

• 检查配置文件： 仔细检查服务的配置文件，例如 Nginx 的

  nginx.conf

  登录后复制
  文件，看看是否存在语法错误或配置问题。

• 查看依赖服务： 检查服务是否依赖其他服务。如果依赖服务没有启动，可能会导致服务启动失败。使用

  systemctl status <service_name>.service

  登录后复制
  命令查看服务的依赖关系。

如何使用 journalctl 监控系统安全？

journalctl

• 查看登录失败的日志： 使用

  journalctl -t auditd

  登录后复制
  命令查看

  auditd

  登录后复制

  登录后复制

  登录后复制

  登录后复制
  产生的日志，

  auditd

  登录后复制

  登录后复制

  登录后复制

  登录后复制
  是 Linux 系统的一个安全审计工具。你可以通过配置

  auditd

  登录后复制

  登录后复制

  登录后复制

  登录后复制
  规则来记录登录失败事件。

• 监控 SSH 登录： 使用

  journalctl -u sshd.service

  登录后复制
  命令查看 SSH 服务的日志，监控是否有异常登录尝试。

• 查找异常进程： 使用

  journalctl

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制
  命令结合

  ps

  登录后复制
  命令，查找异常进程。例如，你可以先使用

  ps aux

  登录后复制
  命令列出所有进程，然后使用

  journalctl _PID=<pid>

  登录后复制
  命令查看特定进程的日志。

• 监控文件访问： 使用

  auditd

  登录后复制

  登录后复制

  登录后复制

  登录后复制
  监控关键文件的访问，例如

  /etc/passwd

  登录后复制
  和

  /etc/shadow

  登录后复制
  。

• 定期分析日志： 定期使用

  journalctl

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制

  登录后复制
  命令分析日志，查找潜在的安全风险。可以使用脚本自动化这个过程。

记住，安全监控是一个持续的过程，需要不断学习和调整策略。

以上就是如何查看服务日志信息 journalctl日志查询技巧的详细内容，更多请关注php中文网其它相关文章！