多年来，系统日志和内核日志一直由名为 syslogd 的实用程序处理。大多数基于 Linux 的操作系统已经切换到 systemd，它带有一个名为 journald 的不同守护程序日志。要与这些日志交互，请使用 journalctl 实用程序。

授权用户读取系统日志

只有 'adm' 或 'systemd-journal' 的用户可以阅读 systemd 日志。像 Ubuntu 这样的发行版允许用户添加到 adm 组。

打开终端模拟器并输入以下命令：

 组 

如果您在输出中看到 'adm' 或 'systemd-journal'，您可以跳过剩下的步骤本节。如果没有，请将自己添加到 'adm' 组 。

 sudo adduser $USER adm 

您必须重新启动登录会话才能使这些更改生效（注销并登录）。如果由于各种原因无法进行，请使用此命令登录新组，而无需重新启动图形会话：

 newgrp adm 

不要关闭终端窗口。您现在在当前终端会话中的 adm 组中，但不在图形会话中。如果此时打开新终端，将无法再登录 adm 组。

检查日志连续性

系统日志记录可以连续记录，也可以间歇记录。在 Ubuntu 和其他发行版上，默认情况下，它们将继续。在 Debian 9 上，日志不是连续记录的，这意味着它们只存储在内存中（而不是驱动器），并在用户关闭或重新启动时消失。请输入以下命令：

 journalctl--list-boots 

如果这里有多个条目，那么你不需要做任何其他事情。这意味着日志保存在驱动器上（连续）。如果您只获得一个条目，则不会连续记录日志。请将其更改为连续录制。

 sudo sed-i '/Storage/cStorage=persistent'/etc/systemd/journald.conf 

选择查看启动项日志

通常，您会希望查看当前启动时间的日志。有时您想查看有关上次引导的信息，例如发生系统问题之后。但这并不经常发生。

查看当前开机时间的日志：

 journalctl-b 0 

对于上一次启动，使用 '-1' 而不是 '0', 或者给两次上一次启动 '-2', 等

 journalctl-b-1 

在系统日志中导航和搜索

使用 journalctl 打开日志后，您可以使用箭头键和 PAGE UP 或 PAGE DOWN 键 。 其他有用的键是：

 journalctl-b 0-p err 

 journalctl-p err 

 journalctl-u cron.service 

 systemctl list-dependencies 

 journalctl/usr/sbin/cron 

 journalctl-b 0/usr/sbin/cron