journalctl命令-系统调试中一个常用的命令

格式： journalctl + 参数       #日志的查看
具体参数的含义：
 -p   err               #查看报错日志
 -f                     #监控 （用户ctrl+c结束监控）
 -n      3              #最新（new）的三条日志
 -o   verbose           #查看日志详细参数
 journalctl _PID=84     #直接查看PID为84的程序产生的日志
--since  时间点 --until  时间点   #查看从何时到何时的日志

journalctl --vacuum-size=20M
设置journal 日志最大为20M不保留不必要日志。
journalctl --vacuum-time=1w
设置journal 日志只保留近一周的日志。

root@VM_0_14_centos systemd# journalctl --disk-usage
Archived and active journals take up 64.0M on disk.

journalctl -u +模块的名字
（这台服务器上面的日志是自己输出到自己log的并没有用systemd-journald收集故很多是没有的,
 就举个例子。好歹还可以有ssh的日志可以看）
journalctl -u sshd 

journalctl -u sshd --since "2021-02-04 23:59" --until "2021-02-05 00:01" 
特意加了-u指定服务名字 加上开始和结束时间更能只管看到输出的日志

journalctl --since yesterday  从昨天到现在的日志？
journalctl --since "2021-02-05 10:20:00"   2021-02-05 10:20:00到现在的日志，是可以不指定结束时间的
journalctl --since 09:00 --until "1 hour ago" 早上九点到10点一个小时段内的日志查看最新的日志

我想看最新的日志，倒序看日志 不想看最早的咋整？
journalctl -r 

我想实时打印最新的日志？
journalctl -f

debug              #系统调试信息，日志信息最多
info               #常规信息，最常用
notice          #最具有重要性的普通条件的信息
warning            #警告信息
err                #报错信息（级别低，阻止了某个工作不能正常工作）
crit               #严重报错信息（级别高，阻止了整个软件或整个系统不能正常工作）
alert              #需要立即修改的信息
emerg              #内核崩溃等严重信息
none               #不采集任何日志信息
注意：从上到下，日志级别从低到高。记录的信息越来越少

查看错误日志信息
举个例子： journalctl -p err