centos系统的日志文件 _lucklyzpp
一、/var目录
一些数据库如MySQL则在/var/lib下,用户未读的邮件的默认存放地点为/var/spool/mail
二、:/var/log/
系统的引导日志:/var/log/boot.log
核心启动日志/var/log/messages
系统日志一般都存在/var/log下,常用的系统日志如下:
文件 /var/run/utmp 记录着现在登录的用户。
文件 /var/log/lastlog 记录每个用户最后的登录信息。
文件 /var/log/btmp 记录错误的登录尝试。
文件 /var/log/auth.log 需要身份确认的操作。
journalctl一个命令,查看所有日志(内核日志和应用日志)。日志的配置文件是/etc/systemd/journald.conf。journalctl功能强大,用法非常多。
journalctl所属的包
whereis journalctl
常用的操作有哪些呢?
显示所有日志:journalctl
查看系统本次启动的日志:journalctl -b
查看最后10条日志:journalctl -n 10
实时跟踪滚动日志:journalctl -f
只显示冲突、告警和错误:journalctl -p err..alert
显示某个单元日志(也可以同时显示多个增加多个 -u nginx.service -u php-fom.service):journalctl -u nginx.service
查看内核日志:journalctl -k
利用–since与–until选项设定时间段,二者分别负责说明给定时间之前与之后的记录。时间值可以多种格式输出
例如,我们可以通过以下命令查看全部2021年10月26日下午3:32之后的条目
journalctl --since "2021-10-26 15:32:00"
如果以上格式中的某些组成部分未进行填写,系统会直接进行默认填充。例如,如果日期部分未填写,则会直接显示当前日期。如果时间部分未填写,则缺省使用“00:00:00”(午夜)。第二字段亦可留空,默认值为“00”:
journalctl --since "2021-10-26" --until "2021-11-26 15:00"
journal还能够理解部分相对值及命名简写。例如,大家可以使用“yesterday”、“today”、“tomorrow”或者“now”等表达。另外,我们也可以使用“-”或者“+”设定相对值,或者使用“ago”之前的表达
获取昨天数据的命令如下
journalctl –since yesterday
journalctl --since "20 min ago" #查找20分钟前的日志
journalctl --since today #查找今天的日志
journalctl --until 2020-07-20 #查找2020-07-20日期的日志
我们可以使用-u选项,来实现按单元过滤。
例如,要查看系统上全部来自Nginx单元的日志,可使用以下命令:
journalctl -u nginx.service
例如,检查今天某项服务的运行状态:
journalctl -u nginx.service -u php-fpm.service --since today
当然我们还可以按进程和按用户来查找:
查找指定用户(UID)日志:journalctl _UID=1000
查看指定进程的日志:journalctl _PID=1
重启systemd-journald服务
systemctl restart systemd-journald.service
显示日志占据的硬盘空间
journalctl --disk-usage
清理现有的日志到200M以下
journalctl --vacuum-size=200M