Просмотр событий journalctl — шпаргалка

Journalctl — система журналирования systemd. Нотация отображения:

• Критичные ошибки выделены красным
• Критичные уведомления выделены жирным

Хотелось бы отметить, что все временные метки сформированы с учетом текущего часового пояса, по умолчанию логи «складываются» в каталог  /var/log/journal/, месторасположение логов можно изменить использовав параметр  Storage в конфиге  /etc/systemd/journald.conf. По умолчанию у параметра  Storage выставлено как правило auto, это говорит о том, что журнал будет писаться именно в  /var/log/journal/, но если по ошибке или каким либо иным способом данный каталог будет удален, то он автоматически не будет создан, этот вопрос можно решить параметром  Storage=persistent и перезапуском или машины или службы  systemd-journald:systemctl restart systemd-journald

Доступ к просмотру журнала

По умолчанию простой пользователь может смотреть только свои логи, если необходимо предоставить пользователю доступ на просмотр всех логов, то его достаточно добавить в группу adm:usermod -aG adm userName

Просмотр по перезагрузкам

Просмотреть сведения с последней перезагрузки:

Посмотреть сведения вообще по загрузкам:journalctl —list-boots

 Провалиться в нужную можно так:

 Или так:

 Посмотреть только ошибки с последней загрузки:

 Просмотр и время

Или посмотреть логи только за вчера:

 Или только с указанного времени:

 Или между временами, в данном случае днями:

 Посмотреть можно за последние полчаса:

Просмотр по юнитам

По юнитам:

Или так по нескольким:

Просмотр по пидам и юзерам

По пидам:

Юзерам:

Смотрим UID юзера используя команду id, далее смотрим по нему события:

 Посмотреть вообще по каким юзерам есть инфо:

Еще

Смотрим сообщения ядра:

Просмотреть вообще какие юниты что либо писали в журнал:

Посмотреть последние 10:

Или 30:

Смотреть что происходит сейчас:

Вытащить инфу в формате json:

Очистка журнала

Можно очистить использую «весовые» значения:

Или временные: