通过journalctl查找事件
journalctl _pid=1
查找源自进程id为1的运行systemd的日志消息
journalctl -p warning
查找优先级为warning及以上的日志消息
journalctl _UID=81
查找通过用户ID为81的所有systemd日志消息
journalctl --since 9:00:00 --until 10:00:00
查找9点到10点这一小时的日志事件
journalctl --since 9:00:00 _SYSTEMD_UNIT="sshd.service"
查找sshd服务、系统单元文件为sshd.service,且记录时间为当天9点以后的事件
另:journalctl -o verbose 打开详细的字段
journalctl搜索选项有:
_COMM 命令名称
_EXE 进程中可执行文件的路径
_PID 进程的PID
_UID 进程的UID
_SYSTEMD_UNIT 启动进程的systemd单元