系统日志管理——journalctl

1.journalctl

日志查看工具：

journalctl命令

注：此命令查看的是内核里所存储的日志，机子重启后会自动消失。

journalctl -n 3       参看最近3条日志

journalctl -p err    查看错误日志 

journalctl -o verbose _PID=10 查看具体日志信息

journalctl -o verbose _UID=（进程uid）
journalctl -o verbose _GID=（进程gid）
journalctl -o verbose _HOSTNAME=（进程所在主机）
journalctl -o verbose _SYSTEMD_UNIT=（服务名称）
journalctl -o verbose _COMM=（命令名称）
journalctl --since  "2018-10-14 20:32"  --until  "2018-10-14 20:33"（查看从什么时间开始到什么时候结束之间的日志）

2.如何使用systemd-journal保存系统日志

mkdir /var/log/journal
新建一个目录
chgrp systemd-journal /var/log/journal      
令新建的目录属于systemd-journal这个组
chmod g+s /var/log/journal                          
给新建目录加上强制位，令此目录生产的文件都属于目录的属组
ps aux | grep systemd-journal
过滤出进程名中含有systemd-journal的进程
killall -1 systemd-journald
重新加载systemd-journald
ls /var/log/journal
查看/var/log/journal目录里有什么文件
cd进入/var/log/journal，然后ll，查看目录里的文件是从什么时候开始的。
这个时间即为关机后再次打开机子日志记录的起始时间。。。

开机后的显示：