linux系统日志怎么看

在Linux系统中查看日志是系统管理和故障排查的重要技能。以下是详细的日志查看方法和工具总结：

一、系统主要日志文件位置

1. /var/log/messages

   • 通用系统日志（RedHat/CentOS等传统系统）
   • 包含内核、服务等综合信息

2. /var/log/syslog

   • 通用系统日志（Debian/Ubuntu等系统）

3. /var/log/auth.log

   • 认证/安全日志（登录、sudo等）

4. /var/log/kern.log

   • 内核相关日志（硬件、驱动问题）

5. /var/log/boot.log

   • 系统启动过程记录

6. /var/log/dmesg

   • 内核环形缓冲区日志（硬件检测信息）

7. 服务专用日志

   • Apache: /var/log/apache2/ 或 /var/log/httpd/
   • Nginx: /var/log/nginx/
   • MySQL: /var/log/mysql.log

二、常用查看命令

1. 基础命令

• tail 查看最新日志

  tail -n 20 /var/log/syslog      # 查看最后20行
  tail -f /var/log/auth.log       # 实时跟踪日志（故障排查常用）
  

• less/more 分页查看

  less /var/log/messages          # 支持搜索（按`/`输入关键词）
  

• grep 关键词过滤

  grep "error" /var/log/syslog    # 筛选包含"error"的行
  grep -A 3 -B 2 "fail" logfile  # 显示匹配行前后上下文
  

• dmesg 查看内核日志

  dmesg | grep -i usb            # 检查USB设备信息
  dmesg -T                       # 显示人类可读的时间戳
  

2. 高级工具

• journalctl（Systemd系统专用）

  journalctl -xe                  # 查看完整系统日志
  journalctl -u nginx --since "1 hour ago"  # 按服务和时间筛选
  journalctl -p err -b            # 本次启动的错误日志
  

• multitail（多日志并行查看）

  multitail /var/log/syslog /var/log/auth.log  # 同时监控多个日志
  

• logrotate

  • 日志轮转配置：/etc/logrotate.conf

三、日志分析技巧

1. 时间范围过滤

   sed -n '/May 10 10:00/,/May 10 11:00/p' /var/log/syslog
   

2. 统计错误出现次数

   grep -o "error" /var/log/messages | wc -l
   

3. JSON日志处理（如应用日志）

   cat app.log | jq '. | select(.level == "ERROR")'
   

4. 实时监控工具

   • lnav：高亮语法、自动解析时间戳
     bash lnav /var/log/syslog

四、常见问题解决

1. 日志文件过大

   • 使用logrotate自动压缩旧日志
   • 手动清理：
     bash truncate -s 0 /var/log/bigfile.log # 清空文件（保留inode）

2. 权限不足

   sudo less /var/log/auth.log      # 普通用户需加sudo
   

3. 日志时间不对

   • 检查时区：timedatectl
   • 转换时间戳：
     bash date -d @1620000000 # 将Unix时间戳转为可读格式

五、推荐工具

• 图形化工具：
  • gnome-logs（GNOME桌面环境）
  • KSystemLog（KDE桌面环境）
• 云端日志：
  • ELK Stack（Elasticsearch+Logstash+Kibana）
  • Grafana Loki（轻量级方案）

掌握这些方法后，你可以高效定位系统问题，如服务崩溃、登录失败、硬件错误等。根据实际需求选择合适的工具组合！