怎样使用journalctl 查看系统日志

1、journalctl

如果不带参数，journalctl将显示所有的信息。 （从旧到新）

2、journalctl -r

-r参数表示反序输出，（从新到旧）

3、如何跟踪日志文件

要使用 journalctl 跟踪日志文件 (读取最新条目), 只需在命令后加参数 "-f" 即可。

journalctl -f

4、指定输出显示的大小

我们可以通过-n 或者 --lines=参数来指定显示的行数大小。

5、linux显示指定时间的事件日志

journalctl可以显示指定时间段内发生的事件日志。 通过since和until 参数来实现。其中日期的格式是“YYYY-MM-DD HH:MM:SS”

比如：journalctl --since 1 hour ago ，查看1小时前到现在的日志

journalctl --since "2016-08-04 20:00:00" --until "2016-08-04 20:15:00" 查看8月4日晚上的日志

6、查看某个用户的日志

我们可以通过UID来查看某个用户的日志。

$ id john

$journalctl _UID=1000 -n 5

7、查看某些服务的日志

 journalctl -u httpd.service 查看web服务的日志

  journalctl -u httpd.service -u crond.service

8、格式化输出的信息

通过-o 或者--output 可以指定日志的输出格式

journalctl -o short  默认选项

journalctl -o short-precise  时间更精细

9、journalctl -o verbose 详细信息

10、显示与特定系统引导有关的信息

 journalctl -b

 journalctl --list-boots

11、显示系统日志信息

命令 "journalctl -k" 和 "journalctl --dmesg" 用来显示系统的内核日志信息。

永久保存journalctl日志

默认journalctl的日志都是保存到内存中。要保存到文件，只需创建/var/log/journal目录，重启journald服务即可

# mkdir -p /var/log/journal

# systemctl restart systemd-journald