journalctl _pid=1
查找源自進程id為1的運行systemd的日志消息
journalctl -p warning
查找優先級為warning及以上的日志消息
journalctl _UID=81
查找通過用戶ID為81的所有systemd日志消息
journalctl --since 9:00:00 --until 10:00:00
查找9點到10點這一小時的日志事件
journalctl --since 9:00:00 _SYSTEMD_UNIT="sshd.service"
查找sshd服務、系統單元文件為sshd.service,且記錄時間為當天9點以后的事件
另:journalctl -o verbose 打開詳細的字段
journalctl搜索選項有:
_COMM 命令名稱
_EXE 進程中可執行文件的路徑
_PID 進程的PID
_UID 進程的UID
_SYSTEMD_UNIT 啟動進程的systemd單元