journalctl是journald 守护进程的一个客户端工具，用来管理查看系统日志
journald 的配置文件存在于以下路径中：

/etc/systemd/journald.conf

系统日志中存在以下等级划分

0: 紧急情况
1: 警报
2: 危急
3: 错误
4: 警告
5: 通知
6: 信息
7: 调试

使用journalctl查看3级及以上等级的系统信息

[root@node1 ~]# journalctl -p 3  

查看特定启动的日志

[root@node1 ~]# journalctl --list-boots
 -45 aeb81291abbc47f2a8e00b30e7edf410 二 2023-02-14 05:01:47 CST—一 2023-02-20 09:50:08 CST

• 第一个数字显示的是 journald 的唯一的启动跟踪号码，你可以在下一个命令中使用它来分析该特定的启动。

• 第二个数字是启动 ID，你也可以在命令中指定。

• 接下来的两个日期、时间组合是存储在相应文件中的日志的时间。如果你想找出某个特定日期、时间的日志或错误，这就非常方便了。

要查看一个特定的启动号码，你可以选择第一个启动跟踪号码或启动 ID，如下所示

[root@node1 ~]# journalctl -b -45
[root@node1 ~]# journalctl -b aeb81291abbc47f2a8e00b30e7edf410

查看某一特定时间、日期的日志记录

以下命令中的日期、时间格式为 "YYYY-MM-DD HH:MM:SS"

[root@node1 ~]# journalctl --since "2020-12-04 06:00:00"
[root@node1 ~]# journalctl --since "2020-12-03" --until "2020-12-05 03:00:00"
[root@node1 ~]# journalctl --since yesterday
[root@node1 ~]# journalctl --since 09:00 --until "1 hour ago"

查看内核特定的日志记录

[root@node1 ~]# journalctl -k

查看某个服务、PID 的日志

[root@node1 ~]# journalctl -u NetworkManager.service

• 如果你不知道服务名称，可以使用下面的命令来列出系统中的 systemd 服务

[root@node1 ~]# systemctl list-units --type=service

查看用户、组的日志

• 如果你正在分析服务器日志，在多个用户登录的情况下，这个命令很有帮助。你可以先用下面的命令从用户名中找出用户的 ID. 例如，要找出用户 debugpoint 的 ID：

[root@node1 ~]# id -u debugpoint

• 然后使用 _UID 选项指定该 ID 用来查看该用户产生的日志

[root@node1 ~]# journalctl _UID=1000 --since today