1、systemd-journald詳解
systemd-journald日志默認保存在/run/log/journal中,重啟會被清楚,如果存在/var/log/journal目錄,systemd-journald日志會自動改為記入在這個目錄中,同時日志輪轉也會啟動,日志輪狀每月啟動,默認情況下,日志大小不能超過文件系統的10%,也不能造成文件系統的可用空間低于15%,配置文件 /etc/systemd/journald.conf。
1.1修改journald服務配置
[root@frs-server ~]# cat /etc/systemd/journald.conf | grep -v ^#
[Journal]
Storage=persistent
RateLimitInterval=30s
RateLimitBurst=100
MaxFileSec=10day
[root@frs-server ~]#systemctl restart systemd-journald.service重啟服務。
1.2 journald服務配置說明
2、系統日志文件概述
| 日志文件 | 用途 |
| /var/log/messages | 大多數系統日志消息記錄存放此處。如:與身份驗證、電子郵件處理相關的定期運行作業的消息以及純粹與調試相關的消息。 |
| /var/log/secure | 安全和身份驗證相關的消息和錯誤的日志文件。 |
| /var/log/maillog | 與郵件服務器相關的消息的日志文件。 |
| /var/log/cron | 與定期執行任務相關的日志文件。 |
| /var/log/boot.log | 與系統啟動相關的消息記錄在此處。 |
- systemd日志保存位置修改
3.1 創建保存目錄
mkdir /var/log/journal
chown root:systemd-journal /var/log/journal
chmod 2755 /var/log/journal
3.2 使用新目錄生效
reboot系統 或 killall -USR1 systemd-journald
4、journalctl參數選項說明
5、查看完整的系統日志
5.1 輸入過濾日志
journalctl -p err ?----輸出過濾為僅列出優先級為err或以上的日志條目。
Debug(調試)、info(信息)、notice(通知)、warning(警告) 、err(錯誤)、crit(致命)、alert(提示信號)、emerg(緊急事件)。
5.2 查看今天昨天的日志
journalctl --since today -----查看"yesterday"、"today"、"tomorrow" 或者 "now"所有日志
5.3查看一個時間段的日志
journalctl --since 9:00:00 --until 9:15:00
5.4查詢 2020-03-12 19:00:00之后的日志
journalctl --since "2020-03-12 19:00:00"
5.5查詢指定時段日志
journalctl --since "2020-03-13 13:00" --until "2020-03-13 14:00"?
5.6 顯示最后5條日志條目
journalctl -n 5
5.7 查看重啟日志
journalctl --list-boots
5.8 詳細模式
journalctl -o verbose
4.9 持續查看日志輸出
tailf /var/log/message
5.11僅顯示系統上一啟動以來的日志消息
journalctl -b
5.12 只保留近一周的日志
journalctl --vacuum-time=1w
5.13 只保留500的日志
journalctl --vacuum-size=500M
5.14 查看管理用戶登錄的系統服務相關日志
journalctl -u systemd-logind.service -r
5.15實時滾動顯示最新日志
sudo journalctl -f
5.16查看指定服務的日志
$ sudo journalctl /usr/lib/systemd/systemd
)
)
