linux常用命令查看日志(Linux命令查日志)

Linux系统中日志管理是运维和开发的核心技能之一，其命令体系兼具灵活性与功能性。通过多样化的工具，用户能够从实时监控、历史分析到权限处理等多个维度高效管理日志数据。例如tail、less等基础命令支持即时查看与交互式浏览，而journalctl、grep等工具则提供结构化检索与系统级日志管理。此外，压缩工具（如gzip）、分析工具（如awk）及安全命令（如chmod）进一步扩展了日志处理的边界。这些命令覆盖了从单行快速查看到复杂数据分析的全场景需求，且通过管道组合可构建强大的日志处理流水线。然而，不同命令的适用场景差异显著，例如实时监控需依赖tail -f，而历史日志分析更依赖grep或awk，因此需根据实际需求选择工具组合。

一、基础命令：快速查看与交互式操作

1. tail：实时追踪日志末尾

• 核心功能：显示文件末尾指定行数（默认10行），配合-f参数可实时追踪新增内容。
• 典型场景：监控应用实时输出（如tail -f /var/log/nginx/access.log）。
• 扩展参数：
  
  • -n 200：显示最后200行。
  • --pid=FILE：同步显示进程ID对应的日志。

2. less：分页浏览大文件

• 核心功能：支持上下滚动、搜索（/keyword）、跳转（:line）等交互操作。
• 典型场景：查看数百兆级的日志文件（如less /var/log/syslog）。
• 高效技巧：
  
  • /error：快速定位错误关键词。
  • F：向前搜索下一个匹配项。

3. cat：简单合并与输出

• 核心功能：合并多个文件并输出到标准输出，适合小文件快速查看。
• 局限性：无法处理超大文件（如直接cat large.log可能导致终端卡死）。

二、系统日志管理：从Syslog到Journalctl

1. journalctl：Systemd日志核心工具

• 核心功能：查询、过滤系统日志，支持时间范围、服务名称、优先级等多维度筛选。
• 典型场景：
  
  • journalctl -u nginx：查看Nginx服务相关日志。
  • journalctl --since "1 hour ago"：获取最近1小时日志。
• 优势：整合传统Syslog功能，支持二进制存储与高效检索。

2. dmesg：内核与硬件日志

• 核心功能：显示内核环缓冲区信息，用于诊断硬件驱动或启动问题。
• 典型场景：
  
  • dmesg | grep USB：排查USB设备加载状态。
  • dmesg > kernel.log：导出内核日志备用。

三、Web服务器日志：Nginx与Apache差异处理

1. Nginx日志

• 访问日志：默认路径/var/log/nginx/access.log，格式为$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"。
• 错误日志：路径/var/log/nginx/error.log，记录配置错误与运行时异常。
• 分析命令：
  
  • awk 'print $1' access.log | sort | uniq -c | sort -n：统计IP访问频次。

2. Apache日志

• 访问日志：默认路径/var/log/apache2/access.log，格式可通过LogFormat自定义。
• 错误日志：路径/var/log/apache2/error.log，包含模块加载失败等信息。
• 分析命令：
  
  • grep "404" access.log | awk 'print $10'：提取404错误的URL。

四、数据库日志：MySQL与PostgreSQL对比

1. MySQL日志

• 错误日志：路径/var/log/mysql/error.log，记录启动/停止、SQL错误等。
• 查询日志：需手动开启（general_log=1），路径/var/log/mysql/general.log。
• 分析命令：
  
  • grep "Duplicate entry" error.log：查找主键冲突错误。

2. PostgreSQL日志

• 日志位置：由postgresql.conf中的log_directory定义，默认pg_log/。
• 日志级别：通过log_min_messages设置（如LOG、WARNING）。
• 分析命令：
  
  • grep "connection refused" postgresql.log：排查连接拒绝问题。

五、压缩与打包：处理历史日志存储

1. gzip：单文件压缩

• 命令：gzip access.log压缩后生成access.log.gz。
• 解压：gunzip access.log.gz或zcat access.log.gz直接查看内容。

2. tar：多文件归档与压缩

• 命令：tar -czvf logs.tar.gz /var/log/.log打包并压缩多个日志文件。
• 提取：tar -xzvf logs.tar.gz -C /tmp指定解压目录。

六、实时监控与自动化刷新

1. tail -f：基础实时监控

• 命令：tail -f /var/log/syslog持续显示新日志。
• 限制：仅支持单个文件，无法处理多窗口监控。

2. multitail：多文件实时监控

• 安装：apt install multitail。
• 命令：multitail -l /var/log/nginx/access.log /var/log/mysql/error.log同时监控多个文件。

3. watch：定时执行命令

• 命令：watch -n 5 "ls -lh /var/log"每5秒刷新日志文件大小。
• 场景：监控日志增长速率或脚本输出变化。

七、日志分析与数据提取

1. grep：关键词筛选

• 基础用法：grep "ERROR" app.log提取错误行。
• 高级参数：
  
  • -v：排除匹配项。
  • -r：递归搜索目录下所有文件。
  • -o：仅输出匹配的字符串。

2. awk：字段分割与统计

• 示例：awk 'print $1, $9' access.log提取IP和响应状态码。
• 进阶应用：awk '/404/ count++ END print count' access.log统计404错误次数。

3. sed：流编辑与替换

• 命令：sed 's/ERROR/CRITICAL/g' syslog.txt将日志中的"ERROR"替换为"CRITICAL"。
• 场景：批量修复日志格式或敏感信息掩码（如sed 's/(password)=[^ ]/1=/g'）。

八、权限与安全：保护敏感日志

1. chmod：修改文件权限

• 命令：chmod 600 secret.log仅允许所有者读写。
• 场景：保护数据库密码文件或核心配置日志。

2. chown：变更文件所有者

• 命令：chown root:adm /var/log/secure将日志归属转为root用户。
• 注意：需谨慎操作，避免影响日志写入流程。

3. sudo：以特权身份查看日志

• 命令：sudo cat /var/log/auth.log非root用户读取受限日志。
• 风险：避免直接修改日志文件（如sudo vi /var/log/syslog可能导致服务中断）。

通过上述工具的组合与场景化应用，Linux日志管理可实现从基础查看到深度分析的全流程覆盖。例如，结合journalctl的时间过滤与grep的关键词匹配，可精准定位系统故障；而awk与sort的联动则能快速统计访问趋势。未来随着容器化与云原生技术的普及，日志管理将进一步向集中化（如ELK栈）与自动化（如Prometheus+Grafana）演进，但命令行工具的核心地位仍不可替代。