作者：网络傅老师

特别提示：未经作者允许，不得转载任何内容。违者必究！

Debian如何管理日志

《傅老师Debian小知识库系列之12》——原创

---

==前言==

傅老师Debian小知识库特点：

1、最小化拆解Debian实用技能；

2、所有操作在VM虚拟机实测完成；

3、致力于最终形成Debian小知识手册；

（文章尾部有傅老师的二维码，欢迎沟通交流：）

适合人群：

1、想通俗易懂地学习相关知识的同学；

2、正在学习Debian的同学；

阅读建议：

无。过于精炼易懂，正常看就行。

所用版本：Debian 12.4

---

一、概念

    Debian 12默认使用systemd-journald管理日志。

    systemd-journald: 这是systemd初始化系统的一部分，它提供了一个集中式的日志记录服务。systemd-journald收集来自内核、系统服务以及用户进程的消息，并将它们存储在二进制日志中。这些日志可以通过journalctl工具进行查看和查询。

二、前置知识

1、查看运行状态

执行命令

root@debian:~# systemctl status systemd-journald

如图12.1所示。

图12.1 查看运行状态

2、日志存放位置

    systemd-journald通常将日志存储在/var/log/journal/目录下。

root@debian:~# ls -l /var/log/journal/

如图12.2所示。

图12.2 日志存放目录

3、常见的系统日志文件

• /var/log/boot.log：这个文件通常记录系统启动时的相关日志
• /var/log/dpkg.log：此文件记录软件包的安装、升级和删除日志
• /var/log/lastlog：记录所有用户的最近登录信息
• /var/log/btmp：记录所有失败登录信息
• /var/log/wtmp：记录每个用户登录、注销及系统的启动、停机的事件

三、查看日志

    systemd-journald是systemd init系统提供的收集系统日志的服务。你可以使用journalctl命令来查看内核及系统日志。

    journalctl 的默认格式下，日志条目的输出通常包含时间戳、主机名、服务名称（或进程名称）以及消息内容。

以下是一些基本用法：

1、查看所有日志

root@debian:~# journalctl

2、查看最新100行

root@debian:~# journalctl -n 100

3、查看内核日志

root@debian:~# journalctl _TRANSPORT=kernel

4、查看特定时间范围的日志

root@debian:~# journalctl --since "2024-03-27" --until "2024-03-28"
root@debian:~# journalctl --since "1 hour ago"

5、查看错误日志

    日志级别从高到低包括：

• emerg (0): 紧急消息，系统无法使用，必须立即采取行动。
• alert (1): 需要立即修复，例如硬盘故障。
• crit (2): 关键情况，如应用程序组件失败。
• err (3): 错误事件，但不影响系统运行。
• warning (4): 警告，可能出现潜在问题。
• notice (5): 正常但重要的消息。
• info (6): 信息性消息，用于监控或调试。
• debug (7): 调试信息，用于开发者诊断问题

例如查看错误级别及以上的日志：

root@debian:~# journalctl -p err

如图12.3所示。

图12.3 查看错误级别以上的日志

很简单，同学们快打开虚拟机操练起来吧：）

“相当行长继承家产”事件，这件事本身并不重要，关键是为什么这件事会成为热点，才值得深思。

傅老师的微信名片

欢迎沟通交流：）