RockyLinux服务日志查看技巧（新手也能轻松掌握的日志分析与管理指南）

一、什么是系统日志？

系统日志记录了操作系统、应用程序和服务运行过程中的各种事件，包括启动、错误、警告等信息。在RockyLinux（基于RHEL的社区发行版）中，默认使用systemd-journald作为日志管理系统，它将日志以二进制格式存储，可通过journalctl命令进行查询。

二、常用日志查看命令

以下是几个最常用的RockyLinux日志管理命令：

1. 查看所有系统日志

journalctl

该命令会输出从系统启动以来的所有日志，内容较多，建议配合分页使用（按空格翻页，q退出）。

2. 实时跟踪日志（类似 tail -f）

journalctl -f

这个命令非常适合监控正在运行的服务，比如你启动了一个Web服务，想实时看到它的输出。

3. 查看特定服务的日志

假设你想查看SSH服务（sshd）的日志：

journalctl -u sshd

其中 -u 表示指定 unit（服务单元）。这是系统日志分析中最常用的操作之一。

4. 查看最近一次启动的日志

journalctl -b

如果你的系统重启过多次，只想看本次启动的日志，就用这个命令。

三、高级技巧：按时间、优先级过滤日志

你还可以结合时间范围或日志级别进行更精准的查询。

1. 按时间过滤

# 查看今天日志journalctl --since today# 查看过去1小时日志journalctl --since "1 hour ago"# 查看指定时间段journalctl --since "2024-06-01 08:00:00" --until "2024-06-01 18:00:00"

2. 按日志级别过滤（如只看错误）

# 只显示错误（err）、严重（crit）、警报（alert）、紧急（emerg）journalctl -p err# 或者用数字表示（0=emerg, 1=alert, 2=crit, 3=err, 4=warning...）journalctl -p 3

四、持久化日志存储（可选）

默认情况下，journald 的日志是存储在内存中的（/run/log/journal），重启后会丢失。如果你希望日志永久保存，可以启用持久化存储：

sudo mkdir -p /var/log/journalsudo systemctl restart systemd-journald

之后日志将同时写入磁盘，方便长期分析和审计。

五、总结

通过本文，你已经掌握了在RockyLinux中进行RockyLinux服务日志查看的核心技能。无论是日常运维还是故障排查，合理使用journalctl命令都能极大提升效率。记住关键命令：journalctl -u 服务名 和 journalctl -f，它们是你最得力的助手。

希望这篇journalctl使用教程能帮助你轻松入门RockyLinux日志管理！如有疑问，欢迎在评论区交流。