麒麟os系统故障需查日志定位原因,首选journalctl查看systemd集中日志,辅以/var/log文本日志、dmesg内核日志、图形化日志工具及登录操作历史记录。
如果您在麒麟OS中遇到系统异常、服务崩溃或硬件识别失败等问题,需要定位根本原因,则必须查阅系统日志以获取内核、服务及安全模块的原始记录。以下是多种可立即执行的日志查看方法:
一、使用 journalctl 查看 systemd 集中日志
journalctl 是麒麟OS默认启用的 systemd 日志管理工具,它统一收集并索引所有单元(包括内核、系统服务和用户会话)的日志,支持时间过滤、服务限定与实时追踪,是错误追踪的首选入口。
1、以管理员权限查看全部日志(按时间倒序,最新条目在底部):sudo journalctl
2、仅显示错误级别(err)及以上日志,快速聚焦故障线索:sudo journalctl -p err
3、查看最近10分钟内所有日志,匹配突发问题发生的时间窗口:sudo journalctl --since "10 minutes ago"
4、针对特定服务(如 NetworkManager 或 sshd)检索其完整生命周期日志:sudo journalctl -u NetworkManager -n 100 --no-pager
5、实时跟踪新日志输出(类似 tail -f),便于复现问题时同步观察:sudo journalctl -f
二、直接读取 /var/log/ 下的传统结构化日志文件
当 journalctl 不可用(例如 journald 服务异常)、需离线分析或配合第三方审计工具时,可直接访问持久化存储的文本日志文件;这些文件由 rsyslog 或 syslog-ng 写入,路径依麒麟OS版本略有差异。
1、查看桌面版通用系统事件日志(含服务启动、网络配置变更等):sudo cat /var/log/syslog
2、查看服务器版典型系统消息日志(常含内核 Call trace 和硬件初始化信息):sudo less /var/log/messages
3、定位用户认证与登录失败记录(如 SSH 暴力尝试、PAM 拒绝):sudo grep "Failed password\|Invalid user" /var/log/auth.log
4、检索 KYSEC 安全审计事件(适用于银河麒麟安全加固场景):sudo tail -n 50 /var/log/kysec.log
5、搜索包含“error”、“fail”或“panic”的关键行(不区分大小写):sudo grep -i "error\|fail\|panic" /var/log/syslog
三、调用 dmesg 查看内核环形缓冲区日志
dmesg 直接读取内核环缓冲区(ring buffer)中的原始消息,不依赖任何日志守护进程,因此在系统卡顿、journal 服务未启动或启动早期阶段仍可获取底层硬件交互信息,对排查驱动加载失败、PCIe 链路异常、内存错误等至关重要。
1、显示带人类可读时间戳的全部内核日志:sudo dmesg -T
2、仅显示警告(warn)与错误(err)级别消息:sudo dmesg -l warn,err
3、持续监控新出现的内核级告警(如磁盘 SMART 告警、USB 设备断连):sudo dmesg -w
4、高亮筛选含 “Warning”、“Error”、“BUG”、“Oops” 或 “Call trace” 的关键行:dmesg | grep -E "(Warning|Error|BUG|Oops|Call trace)"
5、仅查看最近一次启动以来的新内核消息(排除历史残留):sudo dmesg -b
四、使用图形化日志查看器(桌面环境适用)
麒麟KYLINOS桌面版预装图形日志工具,无需记忆命令即可完成时间范围设定、关键词高亮与日志导出,适合快速定位登录失败、桌面会话异常或安全策略拦截事件。
1、点击左下角“开始菜单”,在“系统工具”或“控制中心”中查找并打开日志查看器
2、在左侧导航栏选择日志类型,例如系统日志、登录日志、安全日志或启动日志
3、点击顶部工具栏的时间范围按钮,设定起止时间(支持自然语言输入,如“昨天”“最近2小时”)
4、在搜索框中输入关键词(如NetworkManager、failed、USB、authentication)进行高亮过滤
5、右键单击某条日志,选择复制详细信息用于上报或交叉比对
五、查询用户登录与操作历史记录
登录行为异常(如非授权访问、重复失败尝试)或系统配置被意外修改时,需结合登录日志与操作审计日志进行溯源;last 命令可提取二进制 wtmp 文件中的结构化登录序列,而操作日志则反映图形界面或管理后台的用户动作。
1、显示全部登录记录(含终端、图形会话、远程SSH):last -a
2、只查看最近24小时内登录记录:last --since "24 hours ago"
3、仅显示指定用户(如 root 或 admin)的登录历史:last admin --since "7 days ago"
4、查看系统管理平台中的操作日志(如通过“系统管理 > 日志管理 > 操作日志”路径):在Web管理界面中设置时间段后点击“过滤”
5、导出操作日志供离线审计:单击日志列表上方的“导出全部”或勾选目标条目后点击“导出选中”
