Linux系统journald的用法

📚 journald 简介

journald 是 systemd 的日志管理服务，负责收集和存储系统服务、内核、应用程序的日志。它取代了传统的 syslog，并引入了一种更高效、结构化的日志存储方式。

---

🎯 journald 的核心特点

✅ 二进制日志格式：

• 日志存储在二进制文件中，而不是传统的纯文本。
• 更快的查询速度，支持压缩和索引。

✅ 集中日志管理：

• 统一记录内核、系统服务和用户进程的日志。
• 日志可以存储在内存、磁盘或远程服务器上。

✅ 丰富的查询功能：

• 使用 journalctl 可按时间、服务、进程等多维度查询日志。

✅ 持久化与限制管理：

• 配置 journald 可限制日志大小、保留时间和磁盘占用空间。

---

📄 日志存储位置

• 持久化日志：/var/log/journal/
• 临时日志：/run/log/journal/（重启后丢失）

---

⚡️ journalctl 的常见用法

journalctl 是 journald 的 CLI 工具，用于查询、过滤和管理日志。

---

🔍 1. 查看日志

# 显示所有日志
sudo journalctl

# 以翻页方式查看（类似 less）
sudo journalctl | less

# 查看最新的 100 条日志
sudo journalctl -n 100

# 实时查看日志（类似 tail -f）
sudo journalctl -f

---

📅 2. 按时间过滤

# 查看最近 1 小时的日志
sudo journalctl --since "1 hour ago"

# 查看今天的日志
sudo journalctl --since today

# 查看指定时间范围的日志
sudo journalctl --since "2025-03-01 12:00:00" --until "2025-03-02 18:00:00"

---

🔎 3. 按服务或进程过滤

# 查看特定服务的日志
sudo journalctl -u nginx.service

# 查看多个服务的日志
sudo journalctl -u nginx.service -u php-fpm.service

# 按进程 ID (PID) 过滤
sudo journalctl _PID=1234

---

📡 4. 按用户或系统日志过滤

# 查看系统日志
sudo journalctl --system

# 查看当前用户的日志
journalctl --user

---

🔥 5. 按关键字搜索日志

# 搜索关键字
sudo journalctl | grep "error"

# 使用 -k 只看内核日志
sudo journalctl -k

---

🧹 日志清理与维护

🗑️ 1. 清理日志

# 删除 7 天前的日志
sudo journalctl --vacuum-time=7d

# 将日志大小限制为 500MB
sudo journalctl --vacuum-size=500M

# 将日志数量限制为 1000 个文件
sudo journalctl --vacuum-files=1000

---

📊 2. 查看日志大小

# 查看当前磁盘日志占用
sudo journalctl --disk-usage

---

⚙️ 配置 journald

配置文件路径：

/etc/systemd/journald.conf

---

📄 常见配置选项

[Journal]
# 设置最大日志大小（例如 1GB）
SystemMaxUse=1G

# 保留日志的最大时间（30 天）
MaxRetentionSec=30day

# 单个日志文件的最大大小
SystemMaxFileSize=200M

# 保留最大日志数量
SystemMaxFiles=10

# 存储模式：persistent（持久化）或 volatile（临时）
Storage=persistent

---

✅ 更新配置

1. 编辑配置文件：

sudo vi /etc/systemd/journald.conf

2. 修改相应参数。
3. 重新加载 journald：

sudo systemctl restart systemd-journald

---

🛠️ 高级用法

📡 1. 导出日志

# 导出日志到压缩文件
sudo journalctl -o export | gzip > logs.export.gz

# 重新导入日志
sudo zcat logs.export.gz | journalctl --import

---

📈 2. 查看内核日志

# 查看内核启动日志
sudo journalctl -k

# 只查看系统启动信息
sudo journalctl -b

---

🔐 3. 设置日志访问权限

# 允许用户加入 systemd-journal 组以读取日志
sudo usermod -a -G systemd-journal your_username

---

📝 常见问题排查

❗️ 1. 日志无法持久化

✅ 检查 /var/log/journal/ 是否存在：

sudo mkdir -p /var/log/journal
sudo systemd-tmpfiles --create --prefix /var/log/journal

✅ 确保 Storage=persistent：

sudo vi /etc/systemd/journald.conf

✅ 重新加载 journald：

sudo systemctl restart systemd-journald

---

❗️ 2. 日志占用磁盘过多

✅ 通过 journalctl --vacuum-size=500M 清理日志。

✅ 配置 SystemMaxUse 或 MaxRetentionSec 以限制日志存储。

---

🚀 总结

• journald 通过 journalctl 提供灵活的日志管理方式。
• 配置 /etc/systemd/journald.conf 可精细控制日志的大小、保留时间和存储位置。
• 使用 journalctl 可按服务、时间、关键字等多种方式过滤日志。

如果需要进一步优化 journald 配置或自动清理策略，可以使用 cron 定期执行日志清理命令。😎