如何在 Debian 中使用 journalctl 查看日志

已编辑 2 几天前 通过 ExtremeHow 编辑团队

Debianjournalctl日志命令行界面系统管理Linux监控开源故障排除软件

Debian 因其稳定性和庞大的软件包库而闻名。维护稳定和安全的系统的关键方面之一是定期监控系统日志。日志帮助系统管理员了解系统内部发生的情况。它们可以为解决问题或了解系统性能提供宝贵的信息。

在 Linux 系统上进行日志管理的传统方法是使用位于 /var/log 目录中的文本文件。这些日志由各种服务管理，如 syslog 或更具体地说是许多 Debian 系统中的 rsyslog。然而，随着 systemd 的出现，一种名为 journald 的新日志系统开始使用，它与传统日志方法相比提供了一些显著的改进和功能。

在本文中，我们将详细讨论如何使用 journalctl 命令来查看和管理 Debian 中的 systemd 日志。让我们探索这个强大的命令，了解它如何帮助您有效地管理系统日志。

JournalCTL 和 SystemD 简介

在讨论 journalctl 用法之前，有必要对 systemd 和 journald 有一个基本了解。systemd 是 Linux 操作系统的系统和服务管理器。它被设计用来提供更好的服务管理和启动性能。journald 是 systemd 的日志组件，负责收集和存储日志。

与以纯文本文件形式存储日志的传统日志方法不同，journald 以二进制格式存储日志，这可以提供多个优点，包括改进的性能、索引和过滤能力。

journalctl 命令用于查询这些二进制日志数据，并提供广泛的过滤选项以使其尽可能地通用。

journalctl 的基本用法

使用 journalctl 的最简单方法是运行它而不带任何参数或选项。这将显示所有可用的日志条目，从最早的开始。

$ journalctl

日志将显示为每个条目的时间戳和消息。然而，鉴于条目的体积可能很大，使用选项按天查看日志通常不实际，尤其是在运行很长时间的系统上。

查看最新日志

通常，您会感兴趣的是查看最近的日志，而不是浏览较旧的条目。使用 -n 标志后跟一个数字，您可以指定要查看最近的行数：

$ journalctl -n 50

此命令获取最后 50 个日志条目。默认行为是不指定数字则显示最后十行：

$ journalctl -n

实时跟踪日志

另一个有用的功能是能够实时跟踪生成的日志，类似于传统日志的 tail -f 命令。这可以通过 -f 标志实现：

$ journalctl -f

此命令将显示新出现的日志条目，这在故障排除期间监测日志输出时尤其有用。

过滤日志

journalctl 的一个强大方面是能够使用多种标准来过滤日志。当您需要查找某些事件或类型的日志条目时，这是很重要的。

按时间过滤

您可以使用 --since 和 --until 选项轻松地按特定时间范围过滤日志。两个选项都接受各种时间格式，包括相对时间：

$ journalctl --since "2023-03-01 00:00:00" --until "2023-03-01 23:59:59"

您还可以使用相对时间：

$ journalctl --since "1 hour ago"

这里会显示过去一小时的日志。

按单元过滤

由于 journald 与 systemd 深度集成，systemd 以 “单元” 管理服务，因此您可以按特定服务单元过滤日志。使用 -u 标志后跟单元 name：

$ journalctl -u apache2.service

这将仅显示与 Apache Web 服务器服务相关的日志，这有助于诊断特定于服务的问题。

按优先级过滤

Systemd 日志有不同的优先级。如果您仅对更严重的日志消息感兴趣，您可以根据这些优先级来过滤日志：

$ journalctl -p err

此命令将仅显示优先级为 "错误" 或更高的日志条目，其中可能包含 "严重错误"、"警告" 和 "紧急" 消息。

组合过滤器

您可以组合不同的过滤器，以更精准地限制日志。例如，如果您想获取过去一小时的 Apache2 服务的错误消息：

$ journalctl -u apache2.service -p err --since "1 hour ago"

这种灵活性使您可以迅速专注于感兴趣的日志。

持久性日志记录

在某些系统上，默认情况下 journald 可能不会在重启之间存储持久日志。这可以通过查看重启后的日志来确认。如果您想启用持久性日志记录，请确保 /var/log/journal 目录存在。如果它不存在，创建它：

$ sudo mkdir -p /var/log/journal $ sudo systemctl restart systemd-journald

这将配置 journald 以二进制日志格式跨重启持久存储日志。

清除和管理日志

随着时间的推移，日志可能会累计并占用大量磁盘空间。您可以使用 journalctl 命令管理磁盘空间使用：

检查日志磁盘使用情况

您可以使用 --disk-usage 选项查看日志占用了多少空间：

$ journalctl --disk-usage

此命令将显示日志占用的总空间。

删除旧日志

您可以使用 --vacuum-time、--vacuum-size 或 --vacuum-files 选项删除旧日志。例如，如果您想删除超过两周的日志，请使用以下命令：

$ sudo journalctl --vacuum-time=2weeks

要保留仅一定量的日志（例如，500MB），使用：

$ sudo journalctl --vacuum-size=500M

上述方法允许日志在磁盘上使用最多指定的空间。

导出和保存日志

有时，您可能需要在日志环境之外共享或检查日志。您可以使用 journalctl 导出日志为多种格式：

导出到文本文件

您可以将日志输出重定向到纯文本文件以便轻松共享或存档：

$ journalctl > /path/to/your/output.txt

此命令将整个日志复制到一个文本文件中。您可以根据需要应用过滤器以限制输出。

导出到 JSON

要以 JSON 格式输出日志，便于被各种工具程序解析，请使用 -o json 选项：

$ journalctl -o json-pretty > /path/to/your/output.json

此命令将生成日志的 JSON 表示，便于程序解剖日志数据。

创建二进制日志备份

如果您想要包含所有附加元数据的二进制备份，可使用 --output-export 选项：

$ journalctl --output-export > /path/to/backup.journal

这允许您以一种可以使用 journalctl --merge 与备份文件轻松重新导入到 systemd-journal 的格式来保存所有日志特定信息。

结论

journalctl 命令是在使用 systemd 通过 journald 来管理日志的 Debian 系统上一个强大的工具。它提供了查看、过滤和管理系统日志的强大功能，在灵活性和效率方面相较传统日志方法提供了显著优势。

通过简单的命令，journalctl 可以让您按时间顺序查看日志、实时跟踪、根据各种条件过滤和管理存储在系统上的日志数据。对于系统管理员和用户来说，了解如何利用 journalctl 可以改善系统事件监控和快速故障排除，最终有助于维护顺畅的操作环境。

  分享本文

如果你发现文章内容有误, 您可以 请求更新