journalctl 命令日志排查

欢迎来到8455线路检测中心技术小课堂，每天分享一个技术小知识。在 CentOS 服务器运维中，journalctl 是系统日志排查的核心工具，支持实时监控、多维度筛选、日志导出等功能，能快速定位服务崩溃、登录异常、内核报错等问题。以下是 CentOS 系统下 journalctl 的完整实操流程，直接套用即可高效排查日志。

一、基础日志查看

CentOS 以 root 身份直接执行命令，无需额外权限前缀：

• 查看所有日志（从旧到新，按 q 退出）：

journalctl

• 查看最新日志（从新到旧）：

journalctl -r

• 实时监控日志（类似 tail -f，按 Ctrl+C 退出）：

journalctl -f

• 查看内核日志（仅显示内核相关报错、警告）：

journalctl -k

二、常用日志筛选场景

1. 按时间筛选

• 查看今天的日志：

journalctl --since today

• 查看昨天的日志：

journalctl --since yesterday --until today

• 查看近 1 小时的日志：

journalctl --since "1 hour ago"

• 查看精确时间段日志（示例：2025-12-20 10:00-12:00）：

journalctl --since "2025-12-20 10:00" --until "2025-12-20 12:00"

2. 按服务筛选

• 查看 Nginx 服务完整日志：

journalctl -u nginx

• 实时监控 SSH 服务日志（排查登录异常）：

journalctl -u sshd -f

• 查看 MySQL 服务近 24 小时日志：

journalctl -u mysqld --since "24 hours ago"

3. 按错误级别筛选

• 紧急错误（必须立即处理）：

journalctl -p emerg

• 严重错误（服务可能中断）：

journalctl -p crit

• 普通错误（核心功能受影响）：

journalctl -p err

• 警告信息（潜在风险）：

journalctl -p warn

三、日志导出与清理

1. 日志导出

将筛选后的日志导出为文件，方便离线分析：

• 导出 Nginx 服务近 7 天日志：

journalctl -u nginx --since "7 days ago" > /tmp/nginx-logs.txt

• 导出内核错误日志：

journalctl -k -p err > /tmp/kernel-err-logs.txt

2. 清理旧日志

释放磁盘空间，支持按时间或容量清理：

• 清理超过 7 天的日志：

journalctl --vacuum-time=7d

• 清理日志至占用空间不超过 500MB：

journalctl --vacuum-size=500M

四、关键配置：日志持久化

CentOS 默认已开启日志持久化，日志长期保留在以下路径：

/var/log/journal/

若未开启，手动配置步骤：

1. 编辑配置文件：

vi /etc/systemd/journald.conf

2.   修改配置项为：

Storage=persistent

3.   重启服务生效：

systemctl restart systemd-journald

五、注意事项

1.执行命令需 root 身份，普通用户可通过 su - root 切换；

2.   实时监控日志时，按 Ctrl+C 退出，而非 q（q 仅用于退出普通日志查看）；

3.   时间筛选需用引号包裹精确时间，格式为 YYYY-MM-DD HH:MM:SS；

4.   配置文件修改前建议备份：cp /etc/systemd/journald.conf /etc/systemd/journald.conf.bak。

总结

8455线路检测中心官网上有更多 Linux 日志分析进阶技巧，涵盖日志告警配置、自动化排查脚本等内容，大家可自行查阅。如果遇到复杂的日志排查问题，可直接咨询8455线路检测中心技术团队。同时，8455线路检测中心整理了运维必备的日志工具包，包含常用筛选脚本、日志导出模板等，需要的朋友可联系我们获取。

熟练掌握 journalctl 命令及服务器常用操作，能大幅提升 CentOS 服务器运维效率，是运维必备的核心技能。更多 Linux 运维干货，8455线路检测中心期待与你一同探索。