Verwenden Sie das journalctl Befehl zum Anzeigen der Journalprotokolle. Standardmäßig enthalten die aufgelisteten Einträge einen Zeitstempel, den Hostnamen, die Anwendung, die die Operation ausgeführt hat, und die eigentliche Nachricht.
# journalctl -- Logs begin at ..., end at ... [date_time] [host name] systemd-journal[65]: ... ...
Die Ausgabe des Befehls ist wie folgt formatiert:
– Einträge werden seitenweise angezeigt.
– Zeitstempel werden in Ihre lokale Zeitzone umgerechnet.
– Die Priorität der Einträge ist sichtbar gekennzeichnet . Einträge mit Fehlerpriorität und höher sind rot. Einträge mit Hinweis- und Warnpriorität sind fett gedruckt.
– Der Beginn des Bootvorgangs wird mit einem speziellen Eintrag angezeigt.
Wenn Sie den Befehl journalctl ohne Optionen oder Argumente ausführen, werden alle Protokolldaten angezeigt, einschließlich rotierter Protokolle. Die ältesten Einträge werden zuerst aufgelistet. Für den Befehl journalctl stehen eine Reihe von Optionen zur Verfügung. Beispiele für einige der Optionen sind unten aufgeführt.
Beispiele für den Befehl journalctl
1. Neueste Logeinträge zuerst anzeigen
1. Verwenden Sie das -r Option, um die neuesten Protokolleinträge zuerst anzuzeigen.
# journalctl -r -- Logs begin at Mon 2017-05-22 10:34:28 IST, end at Tue 2017-11-14 11:31:37 IST. -- Nov 14 11:31:37 geeklab systemd[1]: Stopping user-5006.slice. Nov 14 11:31:37 geeklab systemd[1]: Removed slice user-5006.slice. Nov 14 11:31:37 geeklab systemd-logind[71377]: Removed session 59130.
2. Zeigt eine bestimmte Anzahl der letzten Log-Einträge an
Verwenden Sie die –n [Zahl] Möglichkeit, eine bestimmte Anzahl der letzten Log-Einträge anzuzeigen. Das folgende Beispiel zeigt die drei neuesten Protokolleinträge.
# journalctl -n 3 -- Logs begin at Mon 2017-05-22 10:34:28 IST, end at Tue 2017-11-14 11:40:08 IST. -- Nov 14 11:40:08 geeklab su[92886]: (to oracle) root on none Nov 14 11:40:08 geeklab su[92886]: pam_unix(su-l:session): session opened for user oracle by (uid=0) Nov 14 11:40:08 geeklab su[92886]: pam_unix(su-l:session): session closed for user oracle
3. Protokolleinträge mit bestimmter Priorität anzeigen
Verwenden Sie die –p [Priorität] Option, nur Protokolleinträge einer bestimmten [Priorität] anzuzeigen. Gültige Prioritäten sind debug, info, notice, warning, err, crit, alert, und auftauchen . Das folgende Beispiel zeigt nur kritische Protokolleinträge an. Einträge mit Fehlerpriorität und höher sind rot.
# journalctl -p crit -- Logs begin at Mon 2017-05-22 10:34:28 IST, end at Tue 2017-11-14 11:40:08 IST. -- May 22 10:35:55 geeklab logger[73478]: Starting agent May 23 06:30:06 geeklab sudo[58493]: hptools : parse error in /etc/sudoers near line 125 ; TTY=pts/0 ; PWD=/home/hptools ; May 23 06:30:06 geeklab sudo[58498]: hptools : parse error in /etc/sudoers near line 125 ; TTY=pts/0 ; PWD=/home/hptools ;
4. Protokolleinträge nur für bestimmte systemd-Einheiten anzeigen
Verwenden Sie –u [systemd_unit] Option, um nur Protokolleinträge für die angegebene systemd-Einheit anzuzeigen. Das folgende Beispiel zeigt nur Protokolleinträge an, die der crond-Einheit zugeordnet sind.
# journalctl -u ntpd -- Logs begin at Mon 2017-05-22 10:34:28 IST, end at Tue 2017-11-14 12:01:40 IST. -- May 22 10:38:23 geeklab systemd[1]: Starting Network Time Service... May 22 10:38:23 geeklab ntpd[124798]: ntpd [email protected] Tue May 3 14:43:00 UTC 2016 (1) May 22 10:38:23 geeklab systemd[1]: Started Network Time Service.
5. Ausgabe formatieren
Verwenden Sie das –o [Ausgabeformular] Option zum Formatieren der Ausgabe. Gültige Ausgabeformate sind short, short-iso, short-precise, short-monotonic, verbose, export, json, jsonpretty, json-see, und Katze . Eine Beschreibung der Ausgabeformate finden Sie auf der man-Seite von journalctl. Das folgende Beispiel zeigt Protokolleinträge im ausführlichen Format.
# journalctl -o verbose
-- Logs begin at Mon 2017-05-22 10:34:28 IST, end at Tue 2017-11-14 12:05:12 IST. --
Mon 2017-05-22 10:34:28.596388 IST [s=2eb4bc19c06148158649a58c85bf5ffd;i=1;b=20687e1fa4ce4c78a372ea44f064aa3c;m=26fb2c;t=55015ce4328a4;x=da00a88e8477
PRIORITY=6
_TRANSPORT=driver
MESSAGE=Runtime journal is using 8.0M (max allowed 4.0G, trying to leave 4.0G free of 125.8G available → current limit 4.0G).
MESSAGE_ID=ec387f577b844b8fa948f33cad9a75e6
_PID=742
_UID=0
_GID=0
_COMM=systemd-journal
_EXE=/usr/lib/systemd/systemd-journald
_CMDLINE=/usr/lib/systemd/systemd-journald
_CAP_EFFECTIVE=5402800cf
_SYSTEMD_CGROUP=/system.slice/systemd-journald.service
_SYSTEMD_UNIT=systemd-journald.service
_SYSTEMD_SLICE=system.slice
... 6. Optionen kombinieren
Sie können auch verschiedene Optionen, die in den obigen Beispielen verwendet werden, nach Ihren Anforderungen kombinieren. Um beispielsweise die letzten 3 Protokolleinträge mit der Priorität „Kritisch“ anzuzeigen, verwenden Sie den folgenden Befehl.
]# journalctl -n 3 -p crit -- Logs begin at Mon 2017-05-22 10:34:28 IST, end at Tue 2017-11-14 12:10:12 IST. -- Sep 07 04:35:29 geeklab sshd[21232]: fatal: Read from socket failed: Connection reset by peer [preauth] Oct 26 19:39:33 geeklab sshd[34860]: fatal: Read from socket failed: Connection reset by peer [preauth] Oct 26 19:39:34 geeklab sshd[34862]: fatal: Read from socket failed: Connection reset by peer [preauth]