1、systemd-journald详解
systemd-journald日志默认保存在/run/log/journal中,重启会被清楚,如果存在/var/log/journal目录,systemd-journald日志会自动改为记入在这个目录中,同时日志轮转也会启动,日志轮状每月启动,默认情况下,日志大小不能超过文件系统的10%,也不能造成文件系统的可用空间低于15%,配置文件 /etc/systemd/journald.conf。
1.1修改journald服务配置
[root@frs-server ~]# cat /etc/systemd/journald.conf | grep -v ^#
[Journal]
Storage=persistent
RateLimitInterval=30s
RateLimitBurst=100
MaxFileSec=10day
[root@frs-server ~]#systemctl restart systemd-journald.service重启服务。
1.2 journald服务配置说明
2、系统日志文件概述
| 日志文件 | 用途 |
| /var/log/messages | 大多数系统日志消息记录存放此处。如:与身份验证、电子邮件处理相关的定期运行作业的消息以及纯粹与调试相关的消息。 |
| /var/log/secure | 安全和身份验证相关的消息和错误的日志文件。 |
| /var/log/maillog | 与邮件服务器相关的消息的日志文件。 |
| /var/log/cron | 与定期执行任务相关的日志文件。 |
| /var/log/boot.log | 与系统启动相关的消息记录在此处。 |
- systemd日志保存位置修改
3.1 创建保存目录
mkdir /var/log/journal
chown root:systemd-journal /var/log/journal
chmod 2755 /var/log/journal
3.2 使用新目录生效
reboot系统 或 killall -USR1 systemd-journald
4、journalctl参数选项说明
5、查看完整的系统日志
5.1 输入过滤日志
journalctl -p err ----输出过滤为仅列出优先级为err或以上的日志条目。
Debug(调试)、info(信息)、notice(通知)、warning(警告) 、err(错误)、crit(致命)、alert(提示信号)、emerg(紧急事件)。
5.2 查看今天昨天的日志
journalctl --since today -----查看"yesterday"、"today"、"tomorrow" 或者 "now"所有日志
5.3查看一个时间段的日志
journalctl --since 9:00:00 --until 9:15:00
5.4查询 2020-03-12 19:00:00之后的日志
journalctl --since "2020-03-12 19:00:00"
5.5查询指定时段日志
journalctl --since "2020-03-13 13:00" --until "2020-03-13 14:00"
5.6 显示最后5条日志条目
journalctl -n 5
5.7 查看重启日志
journalctl --list-boots
5.8 详细模式
journalctl -o verbose
4.9 持续查看日志输出
tailf /var/log/message
5.11仅显示系统上一启动以来的日志消息
journalctl -b
5.12 只保留近一周的日志
journalctl --vacuum-time=1w
5.13 只保留500的日志
journalctl --vacuum-size=500M
5.14 查看管理用户登录的系统服务相关日志
journalctl -u systemd-logind.service -r
5.15实时滚动显示最新日志
sudo journalctl -f
5.16查看指定服务的日志
$ sudo journalctl /usr/lib/systemd/systemd
