目录
一、inode与block
1.block与inode概述
2.inode的内容
3.inode号码
4.inode的大小
5.访问文件的简单流程
6.inode的特殊作用
7.通过indoe号删除rm常规方法删除不掉的文件
二、硬链接和软链接
三、恢复误删除的文件
1.恢复EXT类型的文件
示例
2.xfs类型文件备份和恢复
示例
实验总结
四、分析日志文件
1.日志的功能
2.日志文件的分类及其说明
3.日志分类
4.日志主要配置文件
5.日志分析
1)用户日志分析
2)程序日志分析
6.Linux系统日志管理
一、inode与block
1.block与inode概述
1)block(块)
连续的八个扇区组成一个 block(4K)
是文件存取的最小单位
2)inode(索引节点)
中文译名为“索引节点”,也叫i节点
用于存储文件元信息
文件数据包含 元信息(即不包含文件名的文件属性) 和 实际数据
文件元信息存储在 inode(索引节点)里,文件实际数据存储在 block(块)里;文件名存储在目录块里在Linux系统中,文件名和文件数据是分开存储的
查看文件的元信息 stat 文件名
[root@localhost ~]# stat 1.txt #查看文件元信息,也可以显示文件的inode号
文件:"1.txt"
大小:6 块:0 IO 块:4096 目录
设备:fd00h/64768d Inode:102717271 硬链接:2
权限:(0755/drwxr-xr-x) Uid:( 0/ root) Gid:( 0/ root)
环境:unconfined_u:object_r:admin_home_t:s0
最近访问:2024-04-23 15:55:14.369679056 +0800 #最后一次更改文件或目录(属性)的时间
最近更改:2024-04-23 15:55:14.369679056 +0800 #最后一次访问文件或目录的时间
最近改动:2024-04-23 15:55:14.369679056 +0800 #最后一次修改文件或目录(内容)的时间
创建时间:-2.inode的内容
inode包含文件的元信息
- 文件的字节数
- 文件类型
- 文件的读、写、执行权限
- 文件属主的UID
- 文件属组的GID
- 链接数(指向这个文件名路径名称个数)
- 该文件的大小和不同的时间戳
- 指向磁盘上文件的数据块指针
- 有关文件的其他数据
| ctime(change time) | 最后一次更改文件或目录(属性)的时间 |
| atime(access time) | 最后一次访问文件或目录的时间 |
| mtime(modify time) | 最后一次修改文件或目录(内容)的时间 |
[root@localhost ~]# stat 1.txt #查看文件元信息,也可以显示文件的inode号
文件:"1.txt"
大小:6 块:0 IO 块:4096 目录
设备:fd00h/64768d Inode:102717271 硬链接:2
权限:(0755/drwxr-xr-x) Uid:( 0/ root) Gid:( 0/ root)
环境:unconfined_u:object_r:admin_home_t:s0
最近访问:2024-04-23 15:55:14.369679056 +0800 #最后一次更改文件或目录(属性)的时间
最近更改:2024-04-23 15:55:14.369679056 +0800 #最后一次访问文件或目录的时间
最近改动:2024-04-23 15:55:14.369679056 +0800 #最后一次修改文件或目录(内容)的时间
创建时间:-3.inode号码
查看文件的inode号 stat 文件名 ls -i 文件名
[root@localhost ~]# ls -i #查看文件的inode号
102717271 1.txt 67144898 anaconda-ks.cfg 67144930 initial-setup-ks.cfg
[root@localhost ~]# stat 1.txt #查看文件的inode号
文件:"1.txt"
大小:6 块:0 IO 块:4096 目录
设备:fd00h/64768d Inode:102717271 硬链接:2
权限:(0755/drwxr-xr-x) Uid:( 0/ root) Gid:( 0/ root)
环境:unconfined_u:object_r:admin_home_t:s0
最近访问:2024-04-23 16:22:40.237992244 +0800
最近更改:2024-04-23 15:55:14.369679056 +0800
最近改动:2024-04-23 15:55:14.369679056 +0800
创建时间:-
[root@localhost ~]#
4.inode的大小
inode也会消耗硬盘空间,所以格式化的时候,操作系统自动将硬盘分成两个区域。
一个是数据区,存放文件数据;
另一个是 inode 区,存放 inode 所包含的信息。
每个 inode 的大小,一般是 128 字节或 256 字节。
通常情况下不需要关注单个 inode 的大小,而是需要重点关注 inode 总数。inode 的总数在格式化时就给定了,执行 “df -i” 命令即可查看每个硬盘分区对应的的 inode 总数和已经使用的inode 数量。
查看每个分区的inode数量 df -i
[root@localhost ~]# df -i #查看每个分区的inode数量
文件系统 Inode 已用(I) 可用(I) 已用(I)% 挂载点
devtmpfs 478376 382 477994 1% /dev
tmpfs 482657 1 482656 1% /dev/shm
tmpfs 482657 1416 481241 1% /run
tmpfs 482657 16 482641 1% /sys/fs/cgroup
/dev/mapper/centos-root 18411520 160796 18250724 1% /
/dev/sda1 524288 341 523947 1% /boot
tmpfs 482657 9 482648 1% /run/user/42
tmpfs 482657 1 482656 1% /run/user/0
5.访问文件的简单流程
用户访问一个文件的简单流程:
用户访问文件时
通过文件名找到对应的inode号
通过Inode号获取inode信息,
根据inode信息判断用户是否有权限访问文件
有则指向对于的数据block并读取数据,无则拒绝访问
Linux系统不使用 文件名 识别文件,而使用 inode号 来识别文件,文件名只是 inode号 便于识别的别称,文件名和inode号是一一对应的。
6.inode的特殊作用
由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象
当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
移动或重命名文件时,只改变文件名,不影响inode号码
打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
直接查看、修改文件内容或者改变文件名都不会影响 inode号,使用 vi 编辑器修改文件保存退出后会影响 inode号
7.通过indoe号删除rm常规方法删除不掉的文件
find ./ -inum 67320322 -delete
find ./ -inum 67320322 -exec rm -rf {} \;
find ./ -inum 67320322| xargs rm -rf
[root@bogon opt]# ls -i
67385114 123.txt 35342495 rh
[root@bogon opt]# find ./ -inum 67385114 -exec rm -rf {} \;
[root@bogon opt]# ls -i
35342495 rh
[root@bogon opt]#
二、硬链接和软链接
三、恢复误删除的文件
1.恢复EXT类型的文件
依赖包
e2fsprogs-libs-1.41.12-18.el6.x86 64.rpm
e2fsprogs-devel-1.41.12-18.el6.x86 64.mm
配置、编译及安装
extundelete-0.2.4.tan.bz2
模拟删除并执行恢复操作
示例
extundelete 是一个开源的 Linux 数据恢复工具,支持 ext3、ext4文件系统。(ext4只能在centos6版本恢复),本示例模拟ext3文件系统损坏,借助extundelete,修复文件数据
环境列举
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
所需依赖包: yum -y install e2fsprogs-devel e2fsprogs-libs
该软件涉及到c++,所以安装一个c++编译工具: yum install -y gcc gcc-c++ make
准备一台centos 的虚拟机,新添加一块硬盘,开辟出一块主分区,建立ext3文件系统。(本次实验是要centos7运行)
fdisk /dev/sdb
mkfs.ext3 /dev/sdb1
mkdir /test
mount /dev/sdb1 /test
lsblk
df -Th
[root@bogon ~]# fdisk /dev/sdb
欢迎使用 fdisk (util-linux 2.23.2)。
更改将停留在内存中,直到您决定将更改写入磁盘。
使用写入命令前请三思。
Device does not contain a recognized partition table
使用磁盘标识符 0x6bec8745 创建新的 DOS 磁盘标签。
命令(输入 m 获取帮助):n
Partition type:
p primary (0 primary, 0 extended, 4 free)
e extended
Select (default p):
Using default response p
分区号 (1-4,默认 1):
起始 扇区 (2048-41943039,默认为 2048):
将使用默认值 2048
Last 扇区, +扇区 or +size{K,M,G} (2048-41943039,默认为 41943039):+5G
分区 1 已设置为 Linux 类型,大小设为 5 GiB
命令(输入 m 获取帮助):p
磁盘 /dev/sdb:21.5 GB, 21474836480 字节,41943040 个扇区
Units = 扇区 of 1 * 512 = 512 bytes
扇区大小(逻辑/物理):512 字节 / 512 字节
I/O 大小(最小/最佳):512 字节 / 512 字节
磁盘标签类型:dos
磁盘标识符:0x6bec8745
设备 Boot Start End Blocks Id System
/dev/sdb1 2048 10487807 5242880 83 Linux
命令(输入 m 获取帮助):w
The partition table has been altered!
Calling ioctl() to re-read partition table.
正在同步磁盘。
[root@bogon ~]# mkfs /dev/sdb1
mke2fs 1.42.9 (28-Dec-2013)
文件系统标签=
OS type: Linux
块大小=4096 (log=2)
分块大小=4096 (log=2)
Stride=0 blocks, Stripe width=0 blocks
327680 inodes, 1310720 blocks
65536 blocks (5.00%) reserved for the super user
第一个数据块=0
Maximum filesystem blocks=1342177280
40 block groups
32768 blocks per group, 32768 fragments per group
8192 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736
Allocating group tables: 完成
正在写入inode表: 完成
Writing superblocks and filesystem accounting information: 完成
[root@bogon ~]# mkdir /test
[root@bogon ~]# mount /dev/sdb1 /test/
[root@bogon ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 40G 0 disk
├─sda1 8:1 0 1G 0 part /boot
└─sda2 8:2 0 39G 0 part
├─centos-root 253:0 0 35.1G 0 lvm /
└─centos-swap 253:1 0 3.9G 0 lvm [SWAP]
sdb 8:16 0 20G 0 disk
└─sdb1 8:17 0 5G 0 part /test
sdc 8:32 0 20G 0 disk
sr0 11:0 1 4.4G 0 rom
[root@bogon ~]# df -Th
文件系统 类型 容量 已用 可用 已用% 挂载点
devtmpfs devtmpfs 1.9G 0 1.9G 0% /dev
tmpfs tmpfs 1.9G 0 1.9G 0% /dev/shm
tmpfs tmpfs 1.9G 13M 1.9G 1% /run
tmpfs tmpfs 1.9G 0 1.9G 0% /sys/fs/cgroup
/dev/mapper/centos-root xfs 36G 4.7G 31G 14% /
/dev/sda1 xfs 1014M 187M 828M 19% /boot
tmpfs tmpfs 378M 12K 378M 1% /run/user/42
tmpfs tmpfs 378M 0 378M 0% /run/user/0
/dev/sdb1 ext2 5.0G 10M 4.7G 1% /test
安装extundelete 以及涉及到的依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs
下载ex工具
cd /test
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
解压压缩包,并且安装依赖包
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
yum install -y gcc gcc-c++ make
配置安装位置,进行编译安装,并且在/usr/bin下创建一个软链接
./configure --prefix=/usr/local/extundelete && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/
删除ext3文件系统中的文件
echo 123 > a.txt
echo 123 > b.txt #创建两个文件 ab,并且写入数据extundelete /dev/sdb1 --inode 2 #查看文件系统/dev/sdb1下存在哪些文件,i 节点是从 2 开始的,2 代表该文件系统最开始的目录。
将两个ext3文件删除
rm -rf a.txt b.txt
恢复删除ext3文件系统中的文件
umount /test
extundelete /dev/sdb1 --restore-all #使用ex工具进行恢复
ls
ls RECOVERED_FILES/
xfs 类型文件备份和恢复
CentOS 7 系统默认采用 xfs类型的文件,xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复,目前市面上并没有开源的xfs文件恢复工具,但是利用备份恢复依旧是最优的选择方案。本次实验就是模拟对重要的xfs文件进行备份,在误删后,进行恢复
2.xfs类型文件备份和恢复
xfsdump -f 备份存放位置 要备份的路径或设备文件
xfsdump备份级别(默认为0)
0:完全备份
1-9:增量备份
| -f | 指定备份文件目录 |
| -L | 指定标签 session label |
| -M | 指定设备标签 media label |
| -s | 备份单个文件,-s后面不能直接跟路径 |
xfsdump使用限制
只能备份已挂载的文件系统
必须使用root的权限才能操作
只能备份XFS文件系统
备份后的数据只能让xfsrestore解析
不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
xfsrestore命令格式
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
模拟删除并执行恢复操作
示例
创建xfs系统文件环境
#使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs /dev/sdb1
mkdir /date
mount /dev/sdb1 /date/
cd /date
cp /etc/passwd ./
mkdir test
touch ./test/a
[root@bogon ~]# fdisk /dev/sdb
欢迎使用 fdisk (util-linux 2.23.2)。
更改将停留在内存中,直到您决定将更改写入磁盘。
使用写入命令前请三思。
Device does not contain a recognized partition table
使用磁盘标识符 0xfc915875 创建新的 DOS 磁盘标签。
命令(输入 m 获取帮助):n
Partition type:
p primary (0 primary, 0 extended, 4 free)
e extended
Select (default p):
Using default response p
分区号 (1-4,默认 1):
起始 扇区 (2048-41943039,默认为 2048):
将使用默认值 2048
Last 扇区, +扇区 or +size{K,M,G} (2048-41943039,默认为 41943039):
将使用默认值 41943039
分区 1 已设置为 Linux 类型,大小设为 20 GiB
命令(输入 m 获取帮助):w
The partition table has been altered!
Calling ioctl() to re-read partition table.
正在同步磁盘。
[root@bogon ~]# partprobe /dev/sdb
[root@bogon ~]# mkfs.xfs /dev/sdb1
meta-data=/dev/sdb1 isize=512 agcount=4, agsize=1310656 blks
= sectsz=512 attr=2, projid32bit=1
= crc=1 finobt=0, sparse=0
data = bsize=4096 blocks=5242624, imaxpct=25
= sunit=0 swidth=0 blks
naming =version 2 bsize=4096 ascii-ci=0 ftype=1
log =internal log bsize=4096 blocks=2560, version=2
= sectsz=512 sunit=0 blks, lazy-count=1
realtime =none extsz=4096 blocks=0, rtextents=0
[root@bogon ~]# mkdir /date
[root@bogon ~]# mount /dev/sdb1 /date/
[root@bogon ~]# cd /date
[root@bogon date]# cp /etc/passwd ./
[root@bogon date]# mkdir test
[root@bogon date]# touch ./test/a
[root@bogon date]#
备份整个分区
#安装xfsdump
rpm -qa | grep xfsdump
yum install -y xfsdump#使用 xfsdump 命令备份整个分区
xfsdump -f /opt/dump_sdb1 /dev/sdb1
[root@bogon date]# rpm -qa | grep xfsdump
xfsdump-3.1.7-1.el7.x86_64
[root@bogon date]# xfsdump -f /opt/dump_sdb1 /dev/sdb1
xfsdump: using file dump (drive_simple) strategy
xfsdump: version 3.1.7 (dump format 3.0) - type ^C for status and control
============================= dump label dialog ==============================
please enter label for this dump session (timeout in 300 sec)
-> sdb1
session label entered: "sdb1"
--------------------------------- end dialog ---------------------------------
xfsdump: level 0 dump of bogon:/date
xfsdump: dump date: Tue Apr 23 22:58:30 2024
xfsdump: session id: f506b527-564c-4cd7-a920-aba1b8c06c40
xfsdump: session label: "sdb1"
xfsdump: ino map phase 1: constructing initial dump list
xfsdump: ino map phase 2: skipping (no pruning necessary)
xfsdump: ino map phase 3: skipping (only one dump stream)
xfsdump: ino map construction complete
xfsdump: estimated dump size: 25856 bytes
xfsdump: /var/lib/xfsdump/inventory created
============================= media label dialog =============================
please enter label for media in drive 0 (timeout in 300 sec)
-> sdb1
media label entered: "q"
--------------------------------- end dialog ---------------------------------
xfsdump: creating dump session media file 0 (media 0, file 0)
xfsdump: dumping ino map
xfsdump: dumping directories
xfsdump: dumping non-directory files
xfsdump: ending media file
xfsdump: media file size 25552 bytes
xfsdump: dump size (non-dir files) : 2592 bytes
xfsdump: dump complete: 26 seconds elapsed
xfsdump: Dump Summary:
xfsdump: stream 0 /opt/dump_sdb1 OK (success)
xfsdump: Dump Status: SUCCESS
模拟数据丢失并使用 xfsrestore 命令恢复文件
rm -rf ./*
ls
[root@bogon date]# cd /date/
[root@bogon date]# rm -rf ./*
[root@bogon date]# ls
[root@bogon date]#
恢复操作
xfsrestore -f /opt/dump_sdb1 /date/
[root@bogon date]# xfsrestore -f /opt/dump_sdb1 /date
xfsrestore: using file dump (drive_simple) strategy
xfsrestore: version 3.1.7 (dump format 3.0) - type ^C for status and control
xfsrestore: searching media for dump
xfsrestore: examining media file 0
xfsrestore: dump description:
xfsrestore: hostname: bogon
xfsrestore: mount point: /date
xfsrestore: volume: /dev/sdb1
xfsrestore: session time: Tue Apr 23 22:58:30 2024
xfsrestore: level: 0
xfsrestore: session label: "sdb1"
xfsrestore: media label: "q"
xfsrestore: file system id: a4d04cb4-eca0-498b-bdd5-2952ac63b09a
xfsrestore: session id: f506b527-564c-4cd7-a920-aba1b8c06c40
xfsrestore: media id: 17cd84af-0a38-4514-aa93-661f1883562d
xfsrestore: using online session inventory
xfsrestore: searching media for directory dump
xfsrestore: reading directories
xfsrestore: 2 directories and 3 entries processed
xfsrestore: directory post-processing
xfsrestore: restoring non-directory files
xfsrestore: restore complete: 0 seconds elapsed
xfsrestore: Restore Summary:
xfsrestore: stream 0 /opt/dump_sdb1 OK (success)
xfsrestore: Restore Status: SUCCESS
[root@bogon date]#
实验总结
对创建好的文件系统要进行整个分区的备份,存放在足够的空间中。当该分区中的重要文件被误删后,可以利用备份分区,进行数据还原
四、分析日志文件
1.日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
2.日志文件的分类及其说明
Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下
内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
主配置文件/etc/rsyslog.conf
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
3.日志分类
| 日志种类 | 位置 | 功能描述 |
| 内核及公共消息日志 | /var/log/messages | 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、Io错误、网络错误、程序故障等 对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息 |
| 计划任务日志 | /var/log/cron | 记录与系统定时任务相关的曰志 |
| 系统引导日志 | /var/log/dmesg | 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
| 邮件系统日志 | /var/log/maillog | 记录邮件信息的曰志 |
| 用户验证授权日志 | /var/log/secure | 记录验证和授权方面的倍息,只要涉及账户和密码的程序都会记录。比如系统的登录、ssh的登录、su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
| 用户登录日志 | /var/log/lastlog | 记录系统中所有用户最后一次的登录时间的曰志。这个文件是二进制文件.不能直接用 vi 查看,而要使用 lastlog 命令查看 |
| 用户登录注销和系统开机相关日志 | /var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样,这个文件也是二进制文件,不能直接用 vi 查看,而要使用 last 命令查看 |
| 当前登录用户信息日志 | /var/run/utmp | 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样,这个文件不能直接用 vi 查看,而要使用w、who、users等命令查看 |
more /var/log/messages //以查看message目录为例子
内核及系统日志文件中的每一行表示一条信息,每个信息由4个字段的固定格式组成:
时间标签:消息发出的日期和时间
主机名:生成消息的计算机的名称
子系统名称:发出消息的应用程序的名称
消息:消息的具体内容
4.日志主要配置文件
| auth | 用户认证时产生的日志 |
| authpriv | ssh、ftp等登录信息的验证信息 |
| daemon | 一些守护进程产生的日志 |
| ftp | FTP产生的日志 |
| ftp | FTP产生的日志 |
| mark | rsyslog服务内部的信息,时间标识 |
| news | 网络新闻传输协议(nntp)产生的消息 |
| syslog | 系统日志 |
| uucp | Unix-to-Unix Copy 两个unix之间的相关通信 |
| console | 针对系统控制台的消息 |
| cron | 系统执行定时任务产生的日志 |
| kern | 系统内核日志 |
| local0~local7 | 自定义程序使用 |
| 邮件日志 | |
| user | 用户进程 |
| 优先级 | 信息名称 | 解释 |
| 0 | EMERG(紧急) | 会导致主机系统不可用的情况。如系统崩溃 |
| 1 | ALERT(警告) | 必须马上采取措施解决的问题。如数据库被破坏 |
| 2 | CRIT(严重) | 比较严重的情况。如硬盘错误,可能会阻碍程序的部分功能 |
| 3 | ERR(错误) | 运行出现错误。不是非常紧急,尽快修复的 |
| 4 | WARNING(提醒) | 可能影响系统功能,需要提醒用户的重要事件。不是错误,如磁盘用了85%等 |
| 5 | NOTICE(注意) | 不会影响正常功能,但是需要注意的事件。无需处理 |
| 6 | INFO(信息) | 一般信息。正常的系统信息 |
| 7 | DEBUG(调试) | 程序或系统调试信息等。包含详细开发的信息,调试程序时使用 |
| none | 空 | 没有优先级,不记录任何日志消息 |
注:数字等级越小,日志级别越高,日志事件越重要
5.日志分析
1)用户日志分析
保存了用户登录、退出系统等相关信息
/var/log/lastlog::最近的用户登录事件
/var/log/wtmp:用户登录、注销及系统开、关机事件
/var/run/utmp:当前登录的每个用户的详细信息
/var/log/secure:与用户验证相关的安全性事件
分析工具
users 查看当前用户名称
who 查看当前登录的用户、终端、登录时间、IP地址。
W 查看当前登录的用户、终端、IP地址、登录时间、占用CPU的情况、进程等。
last 命令用于查询成功登录到系统的用户记录
lastb 命令用于查询登录失败的用户记录
2)程序日志分析
由相应的应用程序独立进行管理
Web服务:/var/log/httpd/
access log //记录客户访问事件
error log //记录错误事件
代理服务:/var/log/squid/*access.log、cache.log
分析工具
文本查看、grep过滤检索、Webmin管理套件中查看awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
6.Linux系统日志管理
journalctl 日志管理工具
日志管理工具journalctl是centos7上专有的日志管理工具,该工具是从messages这个文件里读取信息。 Systemd统一管理所有Unit的启动日志。带来的好处就是,可以只用journalctl一个命令,查看所有日志(内核日志和应用日志)。 日志的配置文件是/etc/systemd/journald.conf
#查看所有日志(默认情况下,只保存本次启动的日志)
journalctl
journalctl -r #-r表示倒序,从尾部看(推荐)#查看内核日志(不显示应用日志)
journalctl -k#查看系统本次启动的日志
journalctl -b [-0]#查看上一次启动的日志(需更改设置,如上次系统崩溃,需要查看日志时,就要看上一次的启动日志)
journalctl -b -1#显示尾部指定行数的日志
查看的是/var/log/messages的日志,但是格式上有所调整,如主机名格式不一样而已
journalctl -n 20 [-f]#查看某个服务的日志
journalctl -u nginx.service [-f]#查看指定进程的日志
journalctl _PID=1#查看指定用户的日志
journalctl _UID=0 --since todayjournalctl -xe
# -x 是目录(catalog)的意思,在报错的信息下会,附加解决问题的网址
#-e pager-end 从末尾开始看
