Linux中如何查看服务日志？journalctl与syslog使用指南

排查linux服务问题时，首选journalctl或syslog类系统查看日志。journalctl适用于systemd系统，可查看内核消息、服务启动输出等，支持按时间、单元、优先级过滤；syslog适用于传统系统，需服务主动发送日志，支持集中管理。掌握两者使用能有效定位问题。

在Linux系统中排查服务问题时，查看日志是最直接有效的方法之一。journalctl 和 syslog（或其现代变种如 rsyslog、syslog-ng）是两种常用的日志查看和管理系统，各有特点，适用于不同的场景。

一、journalctl：systemd 系统的日志利器

journalctl 是 systemd 提供的一个工具，用来查询由 journald 收集的日志。它不仅记录内核消息，还包括服务启动过程中的输出、用户登录信息等。

使用建议：

• 基本查看命令：

  • 查看所有日志：journalctl
  • 查看某个服务的日志：journalctl -u ssh.service
  • 实时监控日志更新：journalctl -f

• 按时间过滤：

  
  • 指定时间段查看：journalctl --since "1 hour ago" 或 journalctl --since "2024-03-01" --until "2024-03-02"

• 结合优先级过滤：

  • 只看错误级别以上的日志：journalctl -p err

小贴士：如果你的服务是通过 systemd 启动的，用 journalctl 几乎可以覆盖所有运行时输出，而且不需要额外配置就能看到详细的调试信息。

二、syslog类日志系统：传统但灵活

syslog 是传统的日志收集机制，很多发行版使用 rsyslog 或 syslog-ng 来实现。这类日志通常写入到 /var/log/ 下的文件中，比如 messages、syslog、auth.log 等。

常见操作与建议：

• 查看系统整体日志：

  • cat /var/log/syslog 或 tail -f /var/log/messages

• 查看特定服务日志：

  • SSH 登录失败？试试：grep 'sshd' /var/log/auth.log
  • Apache 错误日志一般在：/var/log/apache2/error.log

• 日志轮转管理：

  • 使用 logrotate 工具定期归档旧日志，防止磁盘占满
  • 配置文件路径通常是：/etc/logrotate.conf 或 /etc/logrotate.d/

注意：syslog 类日志需要服务本身支持将日志发送给 syslog 守护进程，否则可能看不到你想查的内容。

三、journalctl vs syslog：怎么选？

• 如果你使用的是较新的基于 systemd 的系统，且想快速定位服务问题，推荐用 journalctl
• 如果你在维护服务器集群，或者需要集中收集日志（比如用 ELK、Graylog），那 syslog 更合适

基本上就这些了。掌握好这两个工具，大部分 Linux 服务日志的问题都能找到线索。别忘了，有些服务还会写自己的专属日志文件，比如 MySQL 的 error log、Nginx 的 access.log，也值得一看。

以上就是Linux中如何查看服务日志？journalctl与syslog使用指南的详细内容，更多请关注php中文网其它相关文章！