Linux 系统的日志通常由 systemd-journald 管理，存储在 journal 中，涵盖了系统启动、内核事件、服务运行等海量信息。对于系统管理员或开发者来说，关注某个特定服务的运行状态（如 Nginx、MySQL 或 Docker）往往是首要任务。直接浏览全部日志不仅效率低下，还容易错过关键信息。journalctl 的服务过滤功能通过聚焦特定服务的日志输出，帮助你快速定位问题、分析性能瓶颈或排查故障。

例如，假设你正在排查 MySQL 数据库连接问题，直接查看所有日志可能让你淹没在无关信息中。而通过按服务过滤，你可以只查看 MySQL 相关的日志，迅速发现问题根源。这不仅节省时间，还能让你的工作更有针对性。

用 -u 过滤特定服务日志

journalctl 的核心过滤工具是 -u 选项（表示 "unit"，即 systemd 单元）。通过指定服务名称，你可以轻松提取与该服务相关的日志。基本语法如下：

journalctl -u 服务名称

例如，要查看 MySQL 服务的日志，只需运行：

journalctl -u mysql

运行后，你可能会看到类似以下的输出：

以下是一些常见的实际应用示例：

• 查看 Apache Web 服务器日志：

journalctl -u apache2

• 查看 SSH 服务日志：

journalctl -u ssh

• 查看 Docker 服务日志：

journalctl -u docker

如何找到正确的服务名称？

在使用 -u 选项之前，你需要知道目标服务的准确名称。Linux 系统中，服务通常以 .service 后缀命名（如 mysql.service），但在 journalctl 中，你可以省略 .service 部分，直接使用 mysql。

要列出系统中所有已加载的服务，可以运行：

systemctl list-units --type=service

这会返回一个包含所有服务的列表，类似以下输出：

但问题来了：如果系统中有数百个服务，手动查找目标服务名会非常耗时。这时，结合 grep 命令可以快速筛选。例如，查找包含 "ssh" 的服务：

systemctl list-units --type=service | grep ssh

输出可能如下：

需要注意的是，服务名称区分大小写。例如，nginx 和 Nginx 是不同的，输入错误会导致日志无法正确显示。此外，某些服务可能有多个相关单元（如 docker.service 和 docker.socket），在排查问题时可能需要同时关注。

更灵活的日志过滤

仅仅使用 -u 过滤服务日志可能还不够精细。journalctl 提供了多种选项，让你能够进一步缩小或扩展日志范围，以满足不同的需求。

1. 同时监控多个服务

在排查复杂问题时，你可能需要同时查看多个相关服务的日志。例如，Web 应用可能涉及 Nginx、MySQL 和 Redis。可以这样操作：

journalctl -u nginx -u mysql -u redis

这条命令会同时显示 Nginx、MySQL 和 Redis 的日志，适合分析服务之间的交互问题。

2. 使用通配符匹配服务

如果需要查看一组相关服务的日志，可以使用通配符。例如，查看所有以 "docker" 开头的服务日志：

journalctl -u 'docker*'

注意，通配符模式需要用单引号括起来。这对于 Docker 这样的服务尤其有用，因为它可能包含 docker.service、docker.socket 等多个单元。

3. 限制日志行数

服务日志可能非常冗长，尤其是长期运行的服务。通过 -n 选项，你可以限制显示的日志行数。例如，显示最近 50 条日志：

journalctl -u mysql -n 50

这能有效减少无关信息，聚焦于最近的事件。

4. 按时间倒序显示

默认情况下，journalctl 按时间正序显示日志（从旧到新）。但在排查问题时，通常最新日志更重要。使用 -r 选项可以按倒序显示（从新到旧）：

journalctl -u mysql -r

5. 按时间范围过滤

如果你只关心特定时间段的日志，可以使用 --since 和 --until 选项。例如，查看 2024 年 1 月 1 日到 1 月 2 日的 MySQL 日志：

journalctl -u mysql --since "2024-01-01" --until "2024-01-02"

journalctl 还支持更灵活的时间表达式，例如：

• yesterday：从昨天开始
• 1 hour ago：最近一小时
• 10 minutes ago：最近十分钟

示例：

journalctl -u mysql --since "yesterday"

6. 按优先级过滤

日志的优先级（priority）反映了事件的严重程度，从低到高依次为：

• debug (7)
• info (6)
• notice (5)
• warning (4)
• err (3)
• crit (2)
• alert (1)
• emerg (0)

如果你只想查看错误级别的日志，可以使用 -p 选项：

journalctl -u mysql -p err

这会过滤出 MySQL 服务中优先级为 err 或更高的日志，适合快速定位严重问题。

7. 查看当前启动会话的日志

默认情况下，journalctl 显示服务的全部历史日志。如果你只关心当前系统启动后的日志，可以加上 -b 选项：

journalctl -u mysql -b

8. 实时监控日志

在调试或监控服务时，实时查看日志非常有用。使用 -f 选项可以让 journalctl 持续跟踪新日志：

journalctl -u mysql -f

这就像 tail -f 一样，适合实时排查问题。

9. 组合多个过滤条件

journalctl 的强大之处在于可以组合多个过滤条件。例如，查看 MySQL 服务昨天的错误日志，并按倒序显示：

journalctl -u mysql --since "yesterday" -p err -r

这种灵活性让你能够精准锁定所需信息。