上一篇
linux 如何拿到日志库
在 Linux 中,可通过
tail -f /var/log/syslog(系统日志)、
journalctl(systemd
日志)或 `cat /var/log/[日志名]
在Linux系统中,日志是运维排查问题、审计系统行为、监控系统状态的核心数据源,由于Linux采用模块化设计,不同组件(内核、服务、应用程序)会将日志分散存储于多个文件中,拿到日志库”本质上是一个多维度、多工具协同的操作过程,以下从日志体系架构、存储位置、核心命令、高级技巧到实战案例展开详细说明。
Linux日志体系的核心特征
Linux日志系统具有以下特点:
分层分类:系统级日志(全局事件)、服务级日志(特定进程)、应用级日志(业务程序)独立存储;
标准化格式:多数日志遵循RFC 3164/5424标准,包含时间戳、主机名、进程ID、优先级等元数据;
动态更新:关键日志文件(如/var/log/syslog)会被持续追加写入;
权限隔离:敏感日志(如auth.log)仅允许root或指定用户组读取。
主流日志存储位置及用途对照表
| 路径 | 文件名 | 所属服务 | |
|---|---|---|---|
/var/log/ |
syslog |
系统整体事件(启动/停止/错误) | rsyslog |
/var/log/ |
auth.log |
认证相关事件(SSH/sudo/su) | rsyslog |
/var/log/ |
kern.log |
内核崩溃、硬件驱动错误 | rsyslog |
/var/log/ |
boot.log |
开机引导过程记录 | rsyslog |
/var/log/apache2/ |
access.log |
HTTP请求记录 | Apache Web Server |
/var/log/apache2/ |
error.log |
Apache运行错误 | Apache Web Server |
/var/log/nginx/ |
access.log |
Nginx请求日志 | Nginx |
/var/log/journal/ |
system.journal |
Systemd统一日志(含早期历史) | systemd |
/var/log/cups/ |
access_log |
打印任务日志 | CUPS Printer |
/var/log/mysql/ |
error.log |
MySQL数据库错误日志 | MySQL Server |
/var/log/postgresql/ |
pg_log |
PostgreSQL数据库日志 | PostgreSQL |
注:部分发行版(如Debian/Ubuntu)默认启用
journald替代传统rsyslog,此时大部分系统日志会优先写入二进制期刊文件/var/log/journal/。
核心命令详解:从基础到进阶
基础查看命令
| 命令 | 功能描述 | 常用参数示例 |
|---|---|---|
tail |
查看文件末尾内容(适合实时追踪新增日志) | tail -f /var/log/syslog |
head |
查看文件开头内容(快速定位最新重启后的首条日志) | head -n 20 /var/log/boot.log |
cat |
一次性输出整个文件内容(慎用于大文件!) | cat /var/log/auth.log | grep "Failed" |
less |
交互式分页查看(支持上下滚动、搜索) | less +G /var/log/syslog |
grep |
过滤包含关键词的日志行(支持正则表达式) | grep "error" /var/log/nginx/ |
zgrep |
解压并搜索压缩包中的日志(如.gz结尾的文件) |
zgrep "exception" /var/log/app/.gz |
高级分析命令组合
- 统计高频错误:
grep "ERROR" /var/log/app/.log | sort | uniq -c | sort -nr - 提取IP地址:
awk '{print $remote_addr}' /var/log/nginx/access.log | sort | uniq -c - 转换时间格式:
perl -pe 's/[([^]]+)]/1/g' /var/log/syslog > formatted.log - 跨文件搜索:
find /var/log -name ".log" -exec grep -H "Out of memory" {} ;
Systemd期刊系统专用命令
若系统使用systemd(大多数现代发行版默认),需掌握以下命令:
journalctl:全能日志查看器- 查看全部日志:
journalctl - 按时间范围过滤:
journalctl --since "2024-01-01" --until "2024-01-02" - 按服务名称过滤:
journalctl -u nginx.service - 导出为文本:
journalctl -o short-iso > system_logs.txt
- 查看全部日志:
journalctl -xe:显示详细上下文(包括执行的命令和环境变量)
关键场景实战指南
场景1:排查SSH暴力破解攻击
目标:找出所有失败的SSH登录尝试
步骤:
- 定位认证日志:
/var/log/auth.log - 过滤失败记录:
grep "Failed password" /var/log/auth.log - 统计来源IPTop10:
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -n 10 - 封禁高频IP(通过iptables或云服务商安全组)
场景2:分析Web服务器性能瓶颈
目标:识别慢请求路径
步骤:
- 提取响应时间>1秒的请求:
grep "response time" /var/log/nginx/access.log | awk '$NF > 1 {print $0}' - 按URI分组统计平均响应时间:
awk '{print $7, $NF}' /var/log/nginx/access.log | grep "/api/" | awk '{sum[$1]+=$2; count[$1]++} END {for (i in sum) print i, sum[i]/count[i]}' - 优化对应接口代码或增加缓存
场景3:内核恐慌故障诊断
目标:解析内核崩溃原因
步骤:
- 查看内核日志:
dmesg | less或cat /var/log/kern.log - 搜索OOM Killer标记:
grep -i "oom-killer" /var/log/kern.log - 检查内存使用率:
free -h+top确认是否因内存不足导致杀进程
日志轮转与长期保存策略
Linux通过logrotate工具自动管理日志大小,典型配置位于/etc/logrotate.conf或/etc/logrotate.d/目录下,关键参数说明:
| 参数 | 含义 | 示例值 |
|—————|—————————————|———————-|
| daily | 每日轮转 | weekly/monthly |
| rotate N | 保留N个历史日志文件 | rotate 7 |
| compress | 压缩旧日志(节省空间) | compress |
| missingok | 如果日志文件不存在则忽略错误 | — |
| create mode | 新建日志文件的权限设置 | create 640 root adm|
警告:修改前务必备份原配置文件,错误配置可能导致日志丢失!
常见权限问题解决方案
| 现象 | 原因 | 解决方法 |
|---|---|---|
Permission denied |
非root用户尝试读取敏感日志 | sudo tail -f /var/log/syslog |
No such file or directory |
日志未生成(服务未运行) | systemctl status rsyslog |
Cannot open logfile |
磁盘空间不足 | df -h + 清理临时文件 |
Too many open files |
ulimit限制 | ulimit -n 4096 |
相关问答FAQs
Q1: 为什么我的/var/log/syslog突然停止更新了?
A: 可能原因包括:① rsyslog服务未运行(systemctl status rsyslog);② 日志文件被手动删除或移动;③ 磁盘空间耗尽(df -h);④ 配置文件错误导致服务崩溃(检查/etc/rsyslog.conf语法),建议依次排查服务状态、磁盘空间和配置文件。
Q2: 如何快速定位昨天下午3点到5点之间的所有MySQL错误?
A: 使用带时间范围的journalctl命令:journalctl --since "2024-01-01 15:00" --until "2024-01-01 17:00" -u mysql.service | grep -i "error",若未启用systemd期刊,则需手动解析/var/log/mysql/error.log的时间
