Por padrão, systemd-journald registra todos os eventos que estão acontecendo no sistema em um único banco de dados centralizado em /run/log .
Você pode filtrar as entradas de log feitas pelo usuário usando o campo "_UID".
ex: journalctl _UID=1000 _COMM=su
Isso mostrará todos os logs associados ao ID do usuário 1000.
Os diários no / run / log não são persistentes (apagados na reinicialização). Para persistência, você precisa modificar o arquivo journald.conf .
Acesse /etc/systemd/journald.conf e descomente a linha a seguir.
Storage=auto.
Em seguida, crie um diretório "journal" em /var/log e recarregue systemd-journald.
sudo killall -USR1 systemd-journald .