如如何使用journalctl命令？

默認(rèn)的，RHEL7的系統(tǒng)使用2個日志服務(wù)用于系統(tǒng)日志，一個服務(wù)是systemd-journald，這個服務(wù)把日志存放到內(nèi)存中。另一個服務(wù)是rsyslogd，它可以從systemd-journald獲取日志并把日志存放在磁盤上。

要從系統(tǒng)日志查看信息，一個叫journalctl的工具可以使用。如果在該命令后不加任何參數(shù)，它將會顯示系統(tǒng)日志的全部內(nèi)容。

journalctl命令的輸出可以被選項和過濾器改變。選項可以用于改變命令顯示的行數(shù)，開啟相關(guān)的模式，改變顯示的區(qū)域，指定時間范圍等

過濾器可以用于修改需顯示的服務(wù)和單元信息等，還可以顯示更多執(zhí)行的信息

默認(rèn)情況下，rhel7存儲系統(tǒng)日志的目錄是/var/log/journal，系統(tǒng)重啟就會清除。通過新建 /var/log/journal 目錄，日志會自動記錄到這個目錄中，并永久存儲。

一、常用的journalctl命令：

journalctl -ef

該命令用于跳轉(zhuǎn)到日志的尾部，同時會保持一個屏幕，顯示新進(jìn)入的日志信息

journalctl _SYSTEMD_UNIT=sshd.service

查看由sshd.service系統(tǒng)單元生成的日志

journalctl -u sshd.service

查看僅屬于sshd.service單元生成的日志

journalctl -p emerg..err

查看優(yōu)先級是emerg級別并包含err的日志

journalctl -b -1

用于顯示最后一次系統(tǒng)啟動的日志。這個日志信息有助于尋找系統(tǒng)crash的原因。收集該日志必須配置永久存儲位置。（/var/log/journal)

journalctl --since "2020-03-03 12:00:00" --until "2020-03-04 12:00:00"

查看從2020-03-03 12:00:00到2020-03-04 12:00:00的日志，需要配置永久存儲位置。（/var/log/journal)

jourbalctl -o verbose

查看各自由區(qū)域名稱和各自內(nèi)容的日志的詳細(xì)信息

二、創(chuàng)建永久日志存放目錄

mkdir /var/log/journal

chown root:systemd-journal /var/log/journal

chmod 2755 /var/log/journal

systemctl restart systemd-journald