如如何使用journalctl命令？

默認的，RHEL7的系統使用2個日志服務用于系統日志，一個服務是systemd-journald，這個服務把日志存放到內存中。另一個服務是rsyslogd，它可以從systemd-journald獲取日志并把日志存放在磁盤上。

要從系統日志查看信息，一個叫journalctl的工具可以使用。如果在該命令后不加任何參數，它將會顯示系統日志的全部內容。

journalctl命令的輸出可以被選項和過濾器改變。選項可以用于改變命令顯示的行數，開啟相關的模式，改變顯示的區域，指定時間范圍等

過濾器可以用于修改需顯示的服務和單元信息等，還可以顯示更多執行的信息

默認情況下，rhel7存儲系統日志的目錄是/var/log/journal，系統重啟就會清除。通過新建 /var/log/journal 目錄，日志會自動記錄到這個目錄中，并永久存儲。

一、常用的journalctl命令：

journalctl -ef

該命令用于跳轉到日志的尾部，同時會保持一個屏幕，顯示新進入的日志信息

journalctl _SYSTEMD_UNIT=sshd.service

查看由sshd.service系統單元生成的日志

journalctl -u sshd.service

查看僅屬于sshd.service單元生成的日志

journalctl -p emerg..err

查看優先級是emerg級別并包含err的日志

journalctl -b -1

用于顯示最后一次系統啟動的日志。這個日志信息有助于尋找系統crash的原因。收集該日志必須配置永久存儲位置。（/var/log/journal)

journalctl --since "2020-03-03 12:00:00" --until "2020-03-04 12:00:00"

查看從2020-03-03 12:00:00到2020-03-04 12:00:00的日志，需要配置永久存儲位置。（/var/log/journal)

jourbalctl -o verbose

查看各自由區域名稱和各自內容的日志的詳細信息

二、創建永久日志存放目錄

mkdir /var/log/journal

chown root:systemd-journal /var/log/journal

chmod 2755 /var/log/journal

systemctl restart systemd-journald