麒麟os日志排查需综合使用journalctl、/var/log文件、dmesg、图形化日志查看器及last命令:1. journalctl查systemd日志;2. 直读/var/log下syslog等文件;3. dmesg查内核环形缓冲区;4. gnome logs图形界面筛选;5. last查登录历史。
如果您在麒麟OS中遇到系统异常、服务崩溃或登录失败等问题,需快速定位原因,则必须有效查看和分析系统日志。以下是针对麒麟OS的多种日志查看方法,覆盖命令行与图形界面、实时监控与离线分析、内核级与服务级日志源。
一、使用 journalctl 查看 systemd 系统日志
journalctl 是麒麟OS默认集成的 systemd 日志管理工具,统一收集内核、系统服务及用户会话日志,支持时间过滤、服务限定与优先级筛选,是排查运行时问题的首选方式。
1、以管理员权限查看全部系统日志(按时间倒序):sudo journalctl
2、仅显示最近 100 行日志,避免长列表刷屏:sudo journalctl -n 100
3、实时跟踪新增日志(类似 tail -f),适用于复现问题时同步观察:sudo journalctl -f
4、查看指定服务(如 sshd)的完整日志流:sudo journalctl -u sshd
5、仅输出错误级别(err)及以上日志,聚焦故障线索:sudo journalctl -p err
二、直接读取 /var/log/ 下的传统日志文件
当 journalctl 不可用(如 journald 服务异常)、需跨主机比对或配合第三方工具分析时,可直接访问 /var/log/ 目录下的结构化文本日志文件。这些文件持久存储,不依赖 systemd 运行状态。
1、查看通用系统事件日志(桌面版常用):sudo cat /var/log/syslog
2、查看服务器版典型系统消息日志:sudo cat /var/log/messages
3、查看用户认证与登录失败记录:sudo grep "Failed password" /var/log/auth.log
4、分页浏览大日志文件,防止终端阻塞:sudo less /var/log/syslog
5、搜索包含“error”、“fail”或“panic”的关键行:sudo grep -i "error\|fail\|panic" /var/log/syslog
三、调用 dmesg 查看内核环形缓冲区日志
dmesg 输出的是内核启动及运行过程中写入环形缓冲区的原始消息,不经过日志服务中转,在 journal 服务崩溃、系统卡顿或硬件初始化阶段尤为关键,可暴露驱动加载失败、设备识别异常、内存错误等底层问题。
1、显示带人类可读时间戳的完整内核日志:sudo dmesg -T
2、仅显示错误(err)与警告(warn)级别消息:sudo dmesg -l err,warn
3、持续监控新出现的内核级告警(如磁盘 SMART 告警、PCIe 链路降速):sudo dmesg -w
4、将当前内核日志快照保存至用户目录供后续分析:sudo dmesg -T > ~/dmesg_snapshot.log
5、高亮匹配关键词(如 Warning、Error、Oops)的行:dmesg | grep -E "(Warning|Error|Oops|BUG)"
四、使用图形化日志查看器(桌面环境适用)
麒麟OS 桌面版预装 GNOME Logs(日志查看器),提供可视化界面,无需记忆命令即可快速筛选、搜索和导出日志,适合非技术用户或快速定位登录、启动、安全类事件。
1、点击左下角“开始菜单”,在“系统工具”中查找并打开日志查看器
2、在左侧导航栏选择日志类型,例如系统日志、启动日志、安全日志、登录日志
3、点击顶部工具栏的时间范围按钮,设定起止时间筛选条目
4、在搜索框中输入关键词(如“NetworkManager”“failed”“USB”)进行高亮过滤
5、右键单击某条日志,选择复制详细信息用于上报或进一步分析
五、查询用户登录历史记录
登录行为日志独立于系统服务日志,专门记录用户成功/失败的登录、登出、重启等操作,是安全审计与异常行为识别的重要依据。
1、显示全部登录历史(含终端、图形界面、远程 SSH):last
2、仅查看最近 24 小时内的登录记录:last --since "24 hours ago"
3、查看指定用户(如 user1)的登录历史:last user1
4、列出所有已注销的用户会话及登录终端:last -a
5、查看上次系统启动以来的所有登录事件:last reboot
