---

一、journald介绍及实验环境

journald日志分析工具
实验环境：两台虚拟机，分别关掉火墙

systemctl disable --now firewalld

该工具是企业7后自带的工具

在系统里

/run/log/journal/tab补齐（机器码）/system.journal

机器码就是当前主机的主机码

日志是程序生成的
该服务来采集日志放入的文件

systemctl status systemd-journald，采集日志的服务

journalctl工具来分析查看日志
所以这文件里面的日志都是针对该机器码的主机的
该文件不能用cat查看（存文本方式查看），因为文件里面是数据，这样查看会乱码，要用工具看就是journalctl(分析日志的)
日志：表达程序的状态

二、 journald服务配合官网文档阅读

三、journald服务基础用法

1.该命令可以查看机器从开机到现在运行过程的所有日志

journalctl回车

按下G可以看到最后面
2.搜索/指令

/sshd

会把含sshd的高亮显示，n向下匹配，N向上匹配，q是退出

3.查看最新的三条信息

journalctl -n 3

4.查看某一时间段，–since开始时间，–until结束时间

journalctl --since "14:01:30" --until "14:01:50"

四、journald服务参数用法

4.1-o参数

默认的日志格式就是截图的样子（journalctl -o short）
如果加参数-o就能指定你想要的格式
经典模式只有时间 主机名 程序 内容
都没有程序Id等等内容
全部输出就是-o verbose

journalctl -o verbose

二进制格式，与verbose对比没有缩进

journalctl -o export

不同的格式是用于当你需要软件去分析数据的时候，这些软件需要的格式，你需要转换

4.2-p参数

数字越大产生的日志内容越低，处理的紧迫性越低

4.3-F参数

可控制日志级别

journalctl -F PRIORITY
2
3
4
5
6
7

4.4-u参数

参看指定服务的日志

journalctl -u sshd

4.5其他参数

1.查看日志占用大小

journalctl --disk-usage
du -sh /run/log/journal/机器码/system.journal

日志由于不断采集会占满磁盘
日志的回滚（把日志的内容滚动的存储）：
所以要设置超过一定大小把最先生成（最老）的删掉（大小）
超出一定时间的，把超出时间期限的删掉（期限）

2.设置日志的大小

journalctl --vacuum-size=1G

3.设置日志存储时长

journalctl --vacuum-time=1w  1w就是一周

4.查看某个元素的日志

journalctl -o verbose 根据详情输出查看响应的日志

里面所有的_参数的元素都可以查看
比如：进程id的日志

journalctl _PID=32350