====== journalctl: Как просматривать и управлять системными логами ======

В современных Linux-системах умение грамотно работать с логами — одно из ключевых умений администратора. От этого зависит, насколько быстро вы сможете заметить неполадки, разобраться с ошибками и поддерживать стабильность системы. Большинство мейнстримных дистрибутивов Linux сегодня используют systemd в качестве init-системы, а вместе с ним — встроенный компонент для логирования, называемый //journal//. В отличие от привычных текстовых логов, //journal// хранит данные в структурированном бинарном формате. Это позволяет получать к ним доступ быстрее и гибче, используя команду ''journalctl''.

Чтобы взаимодействовать с этими логами, Linux предоставляет мощный инструмент командной строки — ''journalctl''. С его помощью можно просматривать, фильтровать и анализировать логи всей системы: от сообщений ядра до логов сервисов и пользовательских событий — всё в одном месте. Нужно ли вам разобраться, почему не запускается служба, отследить подозрительное событие безопасности или просто понаблюдать за логами в реальном времени — ''journalctl'' даёт нужные инструменты и точность, чтобы сделать это эффективно.

В этом руководстве мы разберём, как пользоваться ''journalctl'': начиная с базового просмотра логов и заканчивая продвинутыми приёмами фильтрации и очистки.
=== Что такое journalctl и почему это важно ===

''journalctl'' — это консольная утилита для работы с журналом systemd. Поскольку systemd пришёл на смену старым init-системам, он взял на себя множество задач (впрочем есть мнение, что systemd на себя что-то слишком много всего взял), включая ведение логов. Журнал systemd — это централизованное хранилище логов, куда попадает всё: сообщения сервисов, ядра и пользовательских программ. Все они сохраняются не в обычных текстовых файлах, а в бинарном формате.

Такой формат хранения даёт больше возможностей для поиска и фильтрации записей. Именно поэтому ''journalctl'' стал незаменимым инструментом для администраторов, которым нужно оперативно решать проблемы, следить за производительностью или анализировать события в реальном времени.

Основные преимущества использования ''journalctl'':

   * **Просмотр логов в реальном времени:**  можно наблюдать за событиями по мере их появления.
  * **Гибкая фильтрация:**  фильтруйте логи по сервису, времени, приоритету и множеству других параметров.
  * **Сохранение логов между перезагрузками:**  при соответствующей настройке журнал не теряется после ребута.
  * **Единый формат хранения:**  все системные логи находятся в одном журнале, поэтому нужные записи искать гораздо проще.
=== Базовый синтаксис команды journalctl ===

Прежде чем переходить к более продвинутым возможностям, давайте разберёмся с основами. Базовый синтаксис команды выглядит так:

<code>journalctl [опции]


</code>

Несмотря на простоту, ''journalctl''  имеет массу полезных параметров. Вот несколько самых часто используемых:

  * ''-u''  — указание юнита (например, конкретного сервиса);
  * ''-p''  — фильтрация по уровню приоритета сообщений;
  * ''--since''  и ''--until''  — выборка логов за определённый промежуток времени;
  * ''-f''  — «подписка» на логи в реальном времени, аналогично ''tail -f'';
  * ''--no-pager''  — отключает постраничный вывод для удобного просмотра в терминале.
Давайте посмотрим на несколько практических примеров с этими опциями.

=== Просмотр всех системных логов ===

Чтобы вывести все записи из системного журнала, выполните:

<code>journalctl


</code>

По умолчанию команда показывает логи с последней загрузки системы. Записи выводятся в обратном хронологическом порядке — самые свежие находятся вверху.

Если нужно просмотреть логи за определённый период, можно использовать параметры ''--since''  и ''--until''  (об этом подробнее чуть позже).

=== Просмотр логов конкретного сервиса ===

Часто бывает нужно посмотреть логи только определённой службы — например, Apache, Nginx или MySQL. ''journalctl''  позволяет отфильтровать журнал по имени юнита с помощью опции ''-u''.

Чтобы вывести логи нужного сервиса, выполните:

<code>journalctl -u <имя_сервиса>


</code>

Например, чтобы просмотреть логи веб-сервера Apache (если служба называется ''apache2''), используйте:

<code>journalctl -u apache2


</code>

Если нужно вывести логи сразу за несколько загрузок системы и при этом избежать постраничного вывода, добавьте флаг ''--no-pager'':

<code>journalctl -u apache2 --no-pager


</code>

Это особенно удобно, если вы хотите посмотреть, что происходило после перезапуска службы.

=== Фильтрация логов по дате и времени ===

''journalctl''  предоставляет удобные возможности для фильтрации логов по времени. С помощью опций ''--since''  и ''--until''  можно задать начальный и конечный момент, за который нужно вывести записи.

Например, чтобы просмотреть логи за сегодняшний день, выполните:

<code>journalctl --since today


</code>

Можно указать и произвольный период. Чтобы, например, вывести логи за последние два дня:

<code>journalctl --since "2 days ago"


</code>

А если требуется выбрать точный диапазон по дате и времени — используйте обе опции вместе:

<code>journalctl --since "2025-04-01 00:00:00" --until "2025-04-02 00:00:00"


</code>

Так можно получить логи строго между двумя указанными моментами времени.

=== Мониторинг логов в реальном времени ===

Иногда важно наблюдать за логами прямо по мере возникновения событий. ''journalctl''  умеет работать в режиме реального времени — примерно так же, как команда ''tail -f''  для обычных текстовых файлов. Для этого используется опция ''-f''.

Например, чтобы следить за логами конкретного сервиса (скажем, Apache) в реальном времени, выполните:

<code>journalctl -u apache2 -f


</code>

Теперь новые записи для службы Apache будут появляться в терминале сразу после возникновения.

Чтобы остановить просмотр, нажмите ''Ctrl + C''.

=== Просмотр логов по уровню приоритета (только ошибки) ===

''journalctl''  позволяет фильтровать логи по уровню важности сообщений — это удобно, когда нужно быстро найти только ошибки или предупреждения. Все записи в журнале делятся на приоритеты:

  * ''emerg''  (0) — система неработоспособна;
  * ''alert''  (1) — требуется немедленное вмешательство;
  * ''crit''  (2) — критическое состояние;
  * ''err''  (3) — ошибка;
  * ''warning''  (4) — предупреждение;
  * ''notice''  (5) — нормальные, но значимые события;
  * ''info''  (6) — информационные сообщения;
  * ''debug''  (7) — отладочная информация.
Чтобы вывести только ошибки (''err''  и выше), используйте параметр ''-p''  с указанием уровня:

<code>journalctl -p err


</code>

Можно также использовать числовое значение вместо имени уровня. Например, чтобы показать все сообщения с приоритетом ''warning''  и выше (то есть 4 и меньше по номеру):

<code>journalctl -p 4


</code>
=== Просмотр логов с предыдущих загрузок системы ===

С помощью ''journalctl''  можно просматривать логи не только текущей, но и прошлых сессий работы системы. Это особенно полезно, если нужно разобраться с проблемами, которые возникали во время предыдущих запусков.

Чтобы вывести логи с прошлого запуска, выполните:

<code>journalctl -b -1


</code>

Эта команда покажет журнал предыдущей загрузки. Аналогично можно указать более старые сессии — например:

<code>journalctl -b -2
journalctl -b -3


</code>

Таким образом можно последовательно просматривать логи из более ранних загрузок системы.

=== Сохранение или экспорт логов в файл ===

Иногда нужно сохранить логи для последующего анализа или чтобы передать их другим. ''journalctl''  позволяет легко выгрузить записи в файл, просто используя перенаправление вывода.

Например, чтобы сохранить логи сервиса Apache в текстовый файл, выполните:

<code>journalctl -u apache2 --no-pager > apache2_logs.txt


</code>

Также можно указать временной диапазон и сохранить только нужные записи:

<code>journalctl --since "2025-04-01" --until "2025-04-02" > april_logs.txt


</code>

Эта команда экспортирует все логи за указанный период в файл ''april_logs.txt''.

=== Проверка объёма занимаемых логами данных ===

Со временем журналы могут разрастаться и занимать всё больше места на диске. Чтобы убедиться, что они не выходят из-под контроля, можно проверить, сколько места сейчас занимает журнал systemd.

Для этого выполните:

<code>journalctl --disk-usage


</code>

Команда покажет текущий объём, занимаемый журналом. Если размер окажется слишком большим, можно будет настроить ротацию логов или удалить старые записи.

=== Очистка старых логов ===

Если системный журнал разросся и начал занимать слишком много места, можно очистить старые записи, настроив параметры systemd. Один из способов — ограничить размер журнала через параметр ''SystemMaxUse''  в файле ''/etc/systemd/journald.conf''.

Однако сделать это можно и вручную, с помощью команды ''journalctl --vacuum-size''. Например, чтобы оставить не больше 1 ГБ логов, выполните:

<code>journalctl --vacuum-size=1G


</code>

А чтобы удалить все записи старше определённого количества дней, используйте опцию ''--vacuum-time'':

<code>journalctl --vacuum-time=7d


</code>

Эта команда удалит логи, которым больше семи дней.

=== Рекомендации по работе с journalctl ===

Когда вы используете ''journalctl''  для мониторинга, отладки или аудита системы, стоит придерживаться нескольких простых, но полезных практик:

  * **Ограничивайте вывод:**  применяйте фильтры вроде ''-u'', ''-p''  и ''--since'', чтобы показывались только нужные записи. Это помогает избежать перегрузки экрана лишней информацией.
  * **Используйте ''-f''  для наблюдения в реальном времени:**  этот режим позволяет следить за логами по мере их появления, что удобно при поиске текущих проблем.
  * **Регулярно очищайте журнал:**  время от времени удаляйте старые записи с помощью ''--vacuum-size''  или ''--vacuum-time'', чтобы не тратить впустую место на диске.
  * **Экспортируйте логи для анализа:**  сохраняйте нужные участки журнала в файлы — это пригодится для последующего разбора или обмена с коллегами.