Linux实时日志监控设置指南

在Linux系统中设置实时日志监控是系统管理和故障排查的重要技能。以下是几种常用的实时日志监控方法：

1. 使用tail命令

最基本的实时日志查看方法：

tail -f /var/log/syslog

或者同时监控多个日志文件：

tail -f /var/log/syslog /var/log/auth.log

2. 使用multitail工具

multitail可以同时监控多个日志文件并在一个窗口中分屏显示：

# 安装multitail
sudo apt-get install multitail  # Debian/Ubuntu
sudo yum install multitail      # RHEL/CentOS

# 使用示例
multitail /var/log/syslog /var/log/auth.log

3. 使用lnav工具

lnav是一个高级日志文件查看器，支持语法高亮、日志时间线视图等：

# 安装lnav
sudo apt-get install lnav      # Debian/Ubuntu
sudo yum install lnav          # RHEL/CentOS

# 使用示例
lnav /var/log/syslog

4. 使用journalctl (systemd系统)

对于使用systemd的系统：

# 查看所有日志的实时输出
journalctl -f

# 查看特定服务的日志
journalctl -fu nginx.service

5. 使用swatch或logwatch

对于更高级的日志监控，可以设置警报：

# 安装swatch
sudo apt-get install swatch    # Debian/Ubuntu

# 基本使用
swatch --config-file=/etc/swatch.conf --tail-file=/var/log/syslog

6. 使用ELK Stack (企业级方案)

对于大规模日志监控，可以部署ELK (Elasticsearch, Logstash, Kibana) 栈：

1. 安装Elasticsearch
2. 安装Logstash配置日志收集
3. 安装Kibana提供可视化界面

7. 使用Prometheus + Grafana

另一种流行的监控方案：

1. 部署Prometheus收集指标
2. 使用Grafana进行可视化
3. 配置Alertmanager进行告警

高级技巧

• 使用grep过滤日志：

  tail -f /var/log/syslog | grep "error"
  

• 使用awk/sed处理日志：

  tail -f /var/log/nginx/access.log | awk '{print $1, $7}'
  

• 将日志输出到文件：

  tail -f /var/log/syslog > monitoring.log
  

日志轮转注意事项

如果使用logrotate，实时监控可能会中断。可以使用-F选项代替-f：

tail -F /var/log/syslog

-F选项会在文件被轮转后自动重新打开新文件。

选择哪种方法取决于您的具体需求，从简单的命令行工具到复杂的企业级解决方案都有相应选择。