14.3 journalctl日志信息检索
常见的日志文件保存路径
| 文件路径及命令 | 作用 |
| /var/log/boot.log | 系统开机自检事件及引导过程等信息 |
| /var/log/lastlog | 用户登录成功时间、终端名称及IP地址等信息 |
| /var/log/btmp | 记录登录失败的时间、终端名称及IP地址等信息 |
| /var/log/messages | 系统及各个服务的运行和报错信息 |
| /var/log/secure | 系统安全相关的信息 |
| /var/log/wtmp | 系统启动与关机等相关信息 |
日志信息登记分类
| 日志等级 | 说明介绍 |
| emerg | 系统出现严重故障,内核崩溃等情况 |
| alert | 应立即修复的故障,数据库损坏等情况 |
| crit | 危险较高的故障,硬盘损坏导致程序运行失败的情况 |
| err | 一般危险的故障,某个服务启动或运行失败的情况 |
| warning | 警告信息,某个服务参数或功能错误的情况 |
| notice | 一般无危险的故障,只是需要处理的情况 |
| info | 通用性消息,给用户提示一些有用信息 |
| debug | 调试程序所产生的信息 |
| none | 没有优先级,不做日志记录 |
系统日志:主要记录系统的运行情况和内核信息。
用户日志:主要记录用户的访问信息,包含用户名、终端名称、登入及退出时间、来源IP地址和执行过的操作等。
程序日志:稍微大一些的服务一般都会保存一份与其同名的日志文件,里面记录着服务运行过程中各种事件的信息;每个服务程序都有自己独立的日志文件,且格式相差较大。
journalctl命令用于检索和管理系统日志信息,英文全称为“journal control”,语法格式为“journalctl参数”
journalctl命令中常用按键以及作用
| 参数 | 作用 |
| -k | 内核日志 |
| -b | 启动日志 |
| -u | 指定服务 |
| -n | 指定条数 |
| -p | 指定类型 |
| -f | 实时刷新(追踪日志) |
| --since | 指定时间 |
| --disk-usage | 占用空间 |
journalctl -n 10
journalctl -f 和tail -f /var/log/message命令的效果相同
journalctl -p warning
journalctl -u sshd
journalctl --since="2022-05-01" --until="2022-05-10"