journalctl是收集系统日志的工具,它收集内核、系统服务的信息。运行的时候需要sudo
权限。
这种方式按时间顺序输出所有的日志。
不建议使用这种方式,因为我们一般看的都是最近的日志。
journalctl -r
journalctl -f
这种方式最常用。
journalctl --no-pager
使用这种方式会输出所有的记录。所以,一般会在查找时使用这种方式,例如,查找所有登录主机的记录:
journalctl --no-pager | grep "Accepted password"
对于ec2,可以查找Accepted publickey
cat /etc/systemd/journald.conf
默认所有配置都是被注释
的,为了能够持久化,需要将Storage
选项开启,将其值设置为persistent
.
然后运行:
sudo systemctl restart systemd-journald
这样,日志就会保存到/var/log/journalctl
下。
当然最好配置下SystemMaxUse
和SystemKeepFree
。
可以使用
sudo journalctl -u systemd-journald
查看默认大小限制。
journalctl --disk-usage