centos系統的日志文件 _lucklyzpp
一、/var目錄
一些數據庫如MySQL則在/var/lib下,用戶未讀的郵件的默認存放地點為/var/spool/mail
二、:/var/log/
系統的引導日志:/var/log/boot.log
核心啟動日志/var/log/messages
系統日志一般都存在/var/log下,常用的系統日志如下:
文件 /var/run/utmp 記錄着現在登錄的用戶。
文件 /var/log/lastlog 記錄每個用戶最后的登錄信息。
文件 /var/log/btmp 記錄錯誤的登錄嘗試。
文件 /var/log/auth.log 需要身份確認的操作。
journalctl一個命令,查看所有日志(內核日志和應用日志)。日志的配置文件是/etc/systemd/journald.conf。journalctl功能強大,用法非常多。
journalctl所屬的包
whereis journalctl
常用的操作有哪些呢?
顯示所有日志:journalctl
查看系統本次啟動的日志:journalctl -b
查看最后10條日志:journalctl -n 10
實時跟蹤滾動日志:journalctl -f
只顯示沖突、告警和錯誤:journalctl -p err..alert
顯示某個單元日志(也可以同時顯示多個增加多個 -u nginx.service -u php-fom.service):journalctl -u nginx.service
查看內核日志:journalctl -k
利用–since與–until選項設定時間段,二者分別負責說明給定時間之前與之后的記錄。時間值可以多種格式輸出
例如,我們可以通過以下命令查看全部2021年10月26日下午3:32之后的條目
journalctl --since "2021-10-26 15:32:00"
如果以上格式中的某些組成部分未進行填寫,系統會直接進行默認填充。例如,如果日期部分未填寫,則會直接顯示當前日期。如果時間部分未填寫,則缺省使用“00:00:00”(午夜)。第二字段亦可留空,默認值為“00”:
journalctl --since "2021-10-26" --until "2021-11-26 15:00"
journal還能夠理解部分相對值及命名簡寫。例如,大家可以使用“yesterday”、“today”、“tomorrow”或者“now”等表達。另外,我們也可以使用“-”或者“+”設定相對值,或者使用“ago”之前的表達
獲取昨天數據的命令如下
journalctl –since yesterday
journalctl --since "20 min ago" #查找20分鍾前的日志
journalctl --since today #查找今天的日志
journalctl --until 2020-07-20 #查找2020-07-20日期的日志
我們可以使用-u選項,來實現按單元過濾。
例如,要查看系統上全部來自Nginx單元的日志,可使用以下命令:
journalctl -u nginx.service
例如,檢查今天某項服務的運行狀態:
journalctl -u nginx.service -u php-fpm.service --since today
當然我們還可以按進程和按用戶來查找:
查找指定用戶(UID)日志:journalctl _UID=1000
查看指定進程的日志:journalctl _PID=1
重啟systemd-journald服務
systemctl restart systemd-journald.service
顯示日志占據的硬盤空間
journalctl --disk-usage
清理現有的日志到200M以下
journalctl --vacuum-size=200M