centos8平台使用journalctl管理systemd-journald日志

一，systemd-journald的作用

1,什么是systemd-journald？

systemd-journald 是 systemd 自带的日志系统,是一个收集并存储各类日志数据的系统服务。 
它创建并维护一个带有索引的、结构化的日志数据库， 并可以收集来自各种不同渠道的日志：

1,通过 kmsg 收集内核日志

2,通过 libc 的 syslog(3) 接口收集系统日志

3,通过 本地日志接口 sd_journal_print(3) 收集结构化的系统日志

4,捕获服务单元的标准输出(STDOUT)与标准错误(STDERR)。

5,通过内核审计子系统收集审计记录

日志守护进程会以安全且不可伪造的方式自动收集每条日志的元数据。

2,journalctl 用来查询 systemd-journald 服务收集到的日志

说明：刘宏缔的架构森林是一个专注架构的博客，地址：https://www.cnblogs.com/architectforest

对应的源码可以访问这里获取： https://github.com/liuhongdi/

说明：作者:刘宏缔邮箱: 371125307@qq.com

二，journalctl所属的包与安装

1,查看所属的包

[root@centos8 ~]# whereis journalctl

journalctl: /usr/bin/journalctl /usr/share/man/man1/journalctl.1.gz

[root@centos8 ~]# rpm -qf /usr/bin/journalctl

systemd-239-18.el8_1.4.x86_64

2,如果找不到journalctl,可以用yum安装

[root@blog ~]# yum install systemd

三，查看journalctl的版本和帮助

1,查看版本

[root@centos8 ~]# journalctl --version

systemd 239

+PAM +AUDIT +SELINUX +IMA -APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT 
+GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS +KMOD +IDN2 -IDN 
+PCRE2 default-hierarchy=legacy

2,查看帮助

[root@centos8 ~]# journalctl --help

四，journalctl的使用例子:

1，查看本机本次启动之后的所有日志

[root@blog ~]# journalctl

2,只查看内核日志:

#-k --dmesg Show kernel message log from the current boot

[root@blog ~]# journalctl -k

3,查看系统本次启动的日志

#-b --boot[=ID] Show current boot or the specified boot

[root@blog ~]# journalctl -b

说明：等同于 journalctl -b -0

查看上一次启动的日志

[root@blog ~]# journalctl -b -1

4，查看最新的10行日志:

# --lines

[root@blog ~]# journalctl  -n

查看最新的指定行数的日志

[root@blog ~]# journalctl  -n 20

5,实时滚动显示最新日志

#-f --follow Follow the journal

[root@blog ~]# journalctl -f

6,查看某个unit的日志

# -u --unit=UNIT Show logs from the specified unit

[root@blog ~]# journalctl -u openresty.service

说明：也可以把多个unit的日志整合起来查看:

例：把两个unit的日志一起浏览

[root@blog ~]# journalctl -u openresty.service -u mysqld.service

7,查看指定时间的日志

# --since 指定开始时间

# --since today 查看从今天开始的日志

# --since yesterday 查看从昨天开始的日志

[root@blog ~]# journalctl -u openresty.service --since today

[root@blog ~]# journalctl --since yesterday

也可以指定准确的时间

[root@blog ~]# journalctl -u openresty.service --since="2020-03-11 12:37:11"

#--until :指定结束的时间

[root@blog ~]# journalctl --since "2020-03-01" --until "2020-03-02 00:00"

#now :指定时间为现在

[root@blog ~]# journalctl --since "2020-03-01" --until now

#可以用ago表示过去的时间

[root@blog ~]# journalctl --since "1 day ago" --until "1 hour ago"

8,指定查看日志时不再分页:

# --no-pager ：不进行分页

[root@blog ~]# journalctl --no-pager

如果日志太多，可以用管道传给more或less

[root@blog ~]# journalctl --no-pager | more

[root@blog ~]# journalctl --no-pager | less

说明：less支持上下翻页，b是向上翻页

more只能向下翻页

9,查看指定级别的日志

# -p: 指定优先级及以上级别

[root@blog ~]# journalctl -p err -b

说明：日志的八个级别:

# 0: emerg

# 1: alert

# 2: crit

# 3: err

# 4: warning

# 5: notice

# 6: info

# 7: debug

10,查看指定用户的日志:

用id命令得到指定用户的id

[root@blog ~]# id webop

uid=1000(webop) gid=1000(webop) groups=1000(webop),10(wheel)

#_UID : 指定用户的uid

[root@blog ~]# journalctl _UID=1000

11,json格式输出:

#-o json : 以json格式输出

[root@blog ~]# journalctl -o json

#-o json-pretty : 以json格式多行输出，更易阅读

[root@blog ~]# journalctl -o json-pretty

12,指定日志倒序输出:最新的在上面，从新到旧

[root@blog ~]# journalctl -r

五，日志清理:

1,清理现有的日志文件

[root@blog ~]# rm -rf /var/log/journal/*

#重启systemd-journald服务

[root@blog ~]# systemctl restart systemd-journald.service

2,显示日志占据的硬盘空间

[root@blog ~]# journalctl  --disk-usage

Archived and active journals take up 192.0M in the file system.

3,清理现有的日志到500M以下

[root@blog ~]# journalctl --vacuum-size=500M

4,清理现有的日志到12个月以下

[root@blog ~]# journalctl --vacuum-time=12month

六，如何测试写一条日志?

1,用logger写一条日志

[root@blog ~]# logger -p user.info "this is check logger command"

2,查看新写入的日志

[root@blog ~]# journalctl -r

-- Logs begin at Wed 2019-12-25 11:43:21 CST, end at Wed 2020-04-08 14:38:55 CST. --

Apr 08 14:38:55 blog sysop[29566]: this is check logger command

七，journalctl所查看的日志保存在哪里？

[root@blog ~]# ls /var/log/journal/

20191225112704604621358614227964

八，journalctl的配置文件在何处?

/etc/systemd/journald.conf

一般不需要改动

九，查看centos的版本

[root@blog ~]# cat /etc/redhat-release

CentOS Linux release 8.0.1905 (Core)