Linux 日志分析神器！掌握 journalctl

将 journalctl 想象成你系统的“黑匣子”，就像飞机上的飞行数据记录仪。系统中的每个事件、错误和消息都会被 systemd 的日志服务记录和存储。本文将带你从基础命令到高级过滤技巧，全面掌握日志分析技能。

什么是 journalctl？

journalctl 是 Linux 中的一个命令行工具，用于查询和显示 systemd 日志中的内容。它提供了一种集中查看系统日志的方式，替代了传统的使用 /var/log/messages 和 /var/log/syslog 等文件来存储日志的系统。你不再需要在不同的日志文件中寻找，journalctl 让你在一个地方就能访问所有日志！

为什么 journalctl 这么强大？

• 速度快：它能迅速加载和处理大量日志。
• 高度可定制：支持多种过滤和查询方式，满足不同需求。
• 功能丰富：
  • 需要查看实时日志？没问题。
  • 想只搜索错误信息？很简单。
  • 使用 journalctl，故障排查变得有条理且高效，让你快速诊断和修复问题。

常见用户困惑解答

在使用 journalctl 时，你可能会遇到以下问题：

• “为什么重启后找不到日志？” 答：默认情况下，日志存储在内存中，除非启用了持久化日志记录（详见第 4 节）。
• “为什么 journalctl -f 似乎卡住了？” 答：系统可能暂时没有生成新的日志，耐心等待即可。
• “如何调试启动时失败的服务？” 答：使用 journalctl -u-b 查看该服务的启动日志（详见第 2 节）。

基本 journalctl 命令

让我们从一些基础命令开始。这些命令能帮助你快速查看系统日志。

使用场景：我的 Web 服务器停止工作了！

假设你的 Nginx Web 服务器突然停止运行，你可以检查日志来定位问题：

journalctl -u nginx --since "1 hour ago"

这条命令会显示 Nginx 服务在过去 1 小时内的日志，帮助你快速定位最近的问题。

常用基础命令

• 查看所有日志：

journalctl

这会显示 systemd 记录的所有日志，从最早的记录开始。

注意：如果日志量很大，建议使用过滤功能。

查看当前启动会话的日志：

journalctl -b

在系统重启后进行调试时非常有用！它只显示当前启动会话的日志。

查看上一次启动的日志：

journalctl -b -1

是的，你还可以查看更早的启动日志！通过增加数字（例如 -2、-3），可以查看更早的记录。

实时跟踪日志：

journalctl -f

类似于 tail -f，这条命令让你能看到实时生成的日志，非常适合实时监控。

只显示最近的日志：

journalctl --since "1 hour ago"

这条命令会显示过去 1 小时内的日志，非常适合缩小最近问题的范围。

过滤日志

面对海量日志，你可能会感到不知所措。别担心！通过过滤功能，可以快速找到你需要的内容。

使用场景：我的数据库服务（MySQL）出问题了！

假设你的 MySQL 服务出现了问题，你可以使用以下命令查看错误日志：

journalctl -u mysql -p err --since "30 minutes ago"

这条命令会显示 MySQL 在过去 30 分钟内的错误日志，帮助你快速定位问题。

按服务（单元）过滤

想查看某个特定服务的日志？试试这个：

journalctl -u nginx

这会显示 Nginx Web 服务器的日志。你可以将 nginx 替换为你需要的服务名称。

按优先级过滤

日志有不同的优先级，就像紧急电话的级别一样：

• 0 紧急（Emergency）
• 1 警报（Alert）
• 2 严重（Critical）
• 3 错误（Error）
• 4 警告（Warning）
• 5 通知（Notice）
• 6 信息（Info）
• 7 调试（Debug）

例如：只查看错误日志：

journalctl -p err

这条命令会过滤掉非错误日志，让你专注于关键问题，日志更短，问题更清晰！

按时间过滤

需要某个特定时间段的日志？没问题！

• 今天的日志：

journalctl --since today

某个日期范围的日志：

journalctl --since "2023-01-01" --until "2023-01-02"

结合过滤器以提高精确度：

  journalctl -u nginx -p err --since "2023-01-01"

这条命令会只显示从 2023 年 1 月 1 日开始的 Nginx 服务的错误日志。

持久化与临时日志

默认情况下，系统日志存储在内存中，这意味着重启后日志会消失。如果你希望日志在重启后仍然存在，可以启用持久化日志。

检查是否启用了持久化日志

运行以下命令：

ls /var/log/journal/

如果这个目录不存在，说明日志没有被永久存储。

启用持久化日志

按照以下步骤启用持久化日志：

sudo mkdir -p /var/log/journal
sudo systemd-tmpfiles --create
sudo systemctl restart systemd-journald

执行这些命令后，你的日志将在重启后仍然保留！

保存和搜索日志

使用场景：需要稍后分析日志？

如果你需要将日志保存下来以便稍后分析，或者与同事或支持团队共享，可以将日志导出到文件中：

journalctl > /var/log/system_logs.log

这条命令会将所有日志保存到 /var/log/system_logs.log 文件中，方便分享。

快速查找特定错误消息

如果你想快速找到特定的错误消息，可以使用 grep 命令：

journalctl | grep "error"

如果结果太多，可以使用更具体的关键词来缩小范围。

按服务和关键词过滤日志

例如，想查找 Nginx 服务中的超时问题：

journalctl -u nginx | grep "timeout"

这条命令会显示 Nginx 服务日志中包含 "timeout" 的内容，非常适合调试连接问题。

系统启动日志

使用场景：服务器未能正常启动！

如果你的服务器启动失败，可以查看上一次启动的日志：

journalctl -b -1

这条命令会显示上次启动时的日志，帮助你了解发生了什么。

只显示启动时失败的服务

如果你只想查看启动时失败的服务，可以使用以下命令：

journalctl -b --priority=3

这条命令会显示启动时的错误日志（优先级为 3），让你立即发现主要问题。

排查启动缓慢的问题

如果系统启动速度很慢，可以使用以下命令识别哪些服务拖慢了启动速度：

systemd-analyze blame

这条命令会列出每个服务的启动时间，帮助你找到瓶颈。

查看启动时的内核消息

想深入了解启动时的内核相关日志？试试这个：

journalctl -k -b

这条命令会显示当前启动会话的内核日志。

高级技巧

掌握了一些基础功能后，让我们来看看更高级的技巧，提升你的日志分析效率。

限制日志条目：

journalctl -n 100

这条命令会只显示最后 100 条日志，避免信息过载。

以 JSON 格式输出日志：

journalctl -o json-pretty

这条命令会以 JSON 格式输出日志，非常适合自动化处理和脚本编写。

通过清理旧日志释放磁盘空间：

  sudo journalctl --vacuum-time=2weeks

这条命令会删除 2 周前的日志，帮助你保持日志易于管理，释放磁盘空间。

结语

现在你已经掌握了利用 journalctl 威力的所有工具！无论是调试服务、实时监控日志，还是搜索关键的系统消息，本文都能帮到你。日志不再是令人头疼的难题，它们将成为你排查问题、优化系统的得力助手。让我们一起成为日志分析的高手吧！