通过journalctl查找事件

journalctl _pid=1

查找源自进程id为1的运行systemd的日志消息

 

journalctl -p warning

查找优先级为warning及以上的日志消息

 

journalctl _UID=81

查找通过用户ID为81的所有systemd日志消息

 

journalctl --since 9:00:00 --until 10:00:00

查找9点到10点这一小时的日志事件

 

journalctl --since 9:00:00 _SYSTEMD_UNIT="sshd.service"

查找sshd服务、系统单元文件为sshd.service,且记录时间为当天9点以后的事件

 

另：journalctl -o verbose 打开详细的字段

journalctl搜索选项有：

_COMM 命令名称

_EXE 进程中可执行文件的路径

_PID  进程的PID

_UID  进程的UID

_SYSTEMD_UNIT 启动进程的systemd单元