该来的总会来的,逃是逃不掉的。
话不多说,man起来:
man journalctl复制
洋洋洒洒几百字的描述,是说journalctl是用来查询systemd日志的,这些日志都是 systemd-journald.service 记录下来的。
如果不加任何参数进行命令调用的话,也就是直接:
journalctl复制
会展示完整的日志内容,从最早收集到的记录开始。
所以上篇文章提到,如果不加 -b 参数的话,第一条展示的是2个月之前的日志。
如果加了参数的话,命令输出的内容会根据参数进行过滤。
参数的格式基本都是 "字段=值" 的格式。
比如:"_SYSTEMD_UNIT=httpd.service",指一条结构化日志记录的某个组件(字段)必须符合条件,才会被筛选出来。一条结构化的日志记录会包含哪些字段呢?发出日志的应用程序自己本身是可以随意定义有哪些字段的。不过journal当中会有一些常用的字段,感兴趣的朋友可以运行以下命令查看常用字段:
man 7 systemd.journal-fields复制
如果命令指定了多个条件,那么输出的结果会把匹配所有条件的记录展示出来。
如果命令指定了多个条件,同时又有多个指定了同一个字段,举个例子,指定了2个不同的日期,那么匹配这2个日期的日志都会被筛选出来。
最后,加号 + 可以出现在不同的条件语句之间,起到分割的作用。那么匹配 + 左边条件语句的记录和匹配 + 右边条件语句的记录会组合在一起展示,2组记录也就形成了常见的逻辑或的关系。
另外,也可以指定文件的绝对路径作为参数,文件路径可以指向一个文件或者表征链接,不过查询日志的时候,文件必须存在。文件路径可以指向的有:可执行的二进制文件,可执行的脚本,设备节点。指向设备节点的时候呢,最好保证日志被记录下来的时候,和查询日志的时候,设备节点所对应的真实设备是相同的。不然的话,由于系统重启之后,设备节点会被重新分配,绝对路径指向设备节点的话,查询的结果就有可能是错误的。所以想要通过指定设备节点的方式来查询日志的话,查询属于当前启动周期的日志会比较有效。
除此之外,还能够通过 --boot, --unit= 等条件来缩小收缩范围,起到逻辑与的作用。
另外,日志文件会被分为很多文件,并不是把所有日志,想当然地记录在一个大文件当中。可以使用 --user, --system, --directory, --file 来指定你想查看哪一组日志文件。
所有用户都能够查看属于他们自己的日志。不过,默认情况下,只有root用户和少数一部分属于特殊组的用户,能够查看系统和其他人的日志。这些组有:systemd-journal, adm, wheel 。后面两个组传统上,分发版都会给予额外权限。wheel组的成员通常能执行管理任务。
journalctl命令的输出内容默认都是使用less命令进行分页的,同时内容比较长的行,都会根据屏幕的宽度进行截断。超出屏幕右侧的内容,可以按→箭头查看,按←箭头查看左边截断的内容。如果要禁用分页的话,可以加 --no-pager 参数。
同时,输出的内容也会根据日志的等级进行不同程度的高亮。
之前提到日志文件会有很多,有属于用户的,也有属于系统。此外,日志文件还分类型,有已经 rotated 的文件,也有正在被 journald 写入的文件。
关于rotate的概念,将会在下一篇文章中进行说明,我们不见不散。
