Linux如何通过journalctl筛选系统日志_Linux日志过滤技巧

journalctl是systemd日志工具，支持按时间（如--since）、服务（-u）、级别（-p）、进程或字段过滤，可高效定位系统问题。

在Linux系统中，journalctl 是 systemd 提供的强大日志查看工具，用于访问和管理由 journald 收集的系统日志。相比传统的 syslog 工具，journalctl 能直接读取二进制格式的日志数据，支持更灵活的筛选方式。掌握其过滤技巧，能快速定位问题。

按时间范围筛选日志

排查故障时，通常只关注特定时间段内的日志。journalctl 支持多种时间表达式：

• journalctl --since "10 minutes ago" — 查看最近10分钟的日志
• journalctl --since "2024-04-05 10:00:00" --until "2024-04-05 11:00:00" — 精确到时间段
• journalctl -S yesterday — 查看昨天的日志
• journalctl --since today — 查看今天的所有日志

按服务单元（Unit）查看日志

对于运行中的 systemd 服务，可直接查看其日志输出，无需查找日志文件路径：

• journalctl -u nginx.service — 查看 Nginx 服务日志
• journalctl -u sshd --since "2 hours ago" — 结合时间查看 SSH 服务近期行为
• journalctl -u mysql.service -f — 实时跟踪 MySQL 服务日志（类似 tail -f）

按日志级别过滤消息

systemd 日志遵循标准优先级，从 0（emerg）到 7（debug）。可通过级别缩小范围：

Hour One

AI文字到视频生成

37

查看详情

• journalctl -p err — 只显示错误及以上级别（err, crit, alert, emerg）
• journalctl -p warning — 显示警告及以上
• journalctl -p info — 显示信息级及以上（常见于调试）
• 常用级别别名：emerg, alert, crit, err, warning, notice, info, debug

按进程、路径或字段精确匹配

journalctl 支持基于日志字段的精细查询，适合复杂场景：

• journalctl _PID=1234 — 查看指定进程ID的日志
• journalctl SYSLOG_IDENTIFIER=crontab — 按日志标识符过滤
• journalctl /usr/bin/bash — 查看由该可执行文件产生的日志
• journalctl MESSAGE="permission denied" — 搜索包含特定文本的消息

基本上就这些。熟练使用 journalctl 的筛选功能，能大幅提升排查效率。关键是根据问题选择合适维度：时间、服务、级别或具体字段。不复杂但容易忽略。

以上就是Linux如何通过journalctl筛选系统日志_Linux日志过滤技巧的详细内容，更多请关注php中文网其它相关文章！