Linux日志管理五大命令有哪些詳解

1、who命令

成都創(chuàng)新互聯(lián)咨詢熱線：18982081108，為您提供成都網(wǎng)站建設(shè)網(wǎng)頁設(shè)計(jì)及定制高端網(wǎng)站建設(shè)服務(wù)，成都創(chuàng)新互聯(lián)網(wǎng)頁制作領(lǐng)域十年，包括成都自拌料攪拌車等多個(gè)方面擁有多年的網(wǎng)站推廣經(jīng)驗(yàn)，選擇成都創(chuàng)新互聯(lián)，為企業(yè)錦上添花。

who命令查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠(yuǎn)程主機(jī)。使用該命令，系統(tǒng)管理員可以查看當(dāng)前系統(tǒng)存在哪些不法用戶，從而對(duì)其進(jìn)行審計(jì)和處理。例如：運(yùn)行who命令顯示如下所示：

#?who

root?????pts/1????????2010-02-22?13:02?(:0.0)

root?????pts/2????????2010-02-22?15:57?(:0.0)

root?????pts/3????????2010-02-22?15:57?(:0.0)

如果指明了wtmp文件名，則who命令查詢所有以前的記錄。命令who /var/log/wtmp將報(bào)告自從wtmp文件創(chuàng)建或刪改以來的每一次登錄。例如：運(yùn)行該命令如下所示：

root?????:0???????????2010-01-24?21:47

root?????pts/1????????2010-01-24?21:47?(:0.0)

root?????:0???????????2010-02-20?19:36

root?????pts/1????????2010-02-20?19:36?(:0.0)

root?????:0???????????2010-02-21?15:21

root?????pts/1????????2010-02-21?15:56?(:0.0)

root?????pts/2????????2010-02-21?16:03?(:0.0)

root?????:0???????????2010-02-22?13:01

root?????pts/1????????2010-02-22?13:02?(:0.0)

root?????pts/2????????2010-02-22?15:57?(:0.0)

root?????pts/3????????2010-02-22?15:57?(:0.0)

2、user命令

users用單獨(dú)的一行打印出當(dāng)前登錄的用戶，每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶有不止一個(gè)登錄會(huì)話，那他的用戶名將顯示相同的次數(shù)。運(yùn)行該命令將如下所示：

# users

root root root

3、last 命令

last命令往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶。系統(tǒng)管理員可以周期性地對(duì)這些用戶的登錄情況進(jìn)行審計(jì)和考核，從而發(fā)現(xiàn)起中存在的問題，確定不法用戶，并進(jìn)行處理。運(yùn)行該命令，如下所示：

# last

root???? pts/3??????? :0.0???????????? Mon Feb 22 15:57?? still logged in

root???? pts/2??????? :0.0???????????? Mon Feb 22 15:57?? still logged in

root???? pts/1??????? :0.0???????????? Mon Feb 22 13:02?? still logged in

root???? :0??????????????????????????? Mon Feb 22 13:01?? still logged in

reboot?? system boot? 2.6.18-8.el5???? Mon Feb 22 12:56????????? (03:02)

root???? pts/2??????? :0.0???????????? Sun Feb 21 16:03 - down?? (02:37)

4、ac命令

ac命令根據(jù)當(dāng)前的/var/log/wtmp文件中的登錄進(jìn)入和退出來報(bào)告用戶連結(jié)的時(shí)間（小時(shí)），如果不使用標(biāo)志，則報(bào)告總的時(shí)間。例如：ac（回車）顯示：total 18.47，如下所示：

# ac

total?????? 18.47

另外，可加一些參數(shù)，例如，last -u 102將報(bào)告UID為102的用戶；last -t 7表示限制上一周的報(bào)告。

5、lastlog命令

lastlog文件在每次有用戶登錄時(shí)被查詢。可以使用lastlog命令檢查某特定用戶上次登錄的時(shí)間，并格式化輸出上次登錄日志/var/log/lastlog的內(nèi)容。它根據(jù)UID排序顯示登錄名、端口號(hào)（tty）和上次登錄時(shí)間。如果一個(gè)用戶從未登錄過，lastlog顯示**Never logged**。注意需要以root身份運(yùn)行該命令。

參考資料：《Linux如何學(xué)》，部分來源網(wǎng)絡(luò)

linux下如何使用命令行查看apache日志？

1、apache日志位置

/var/log/apache2/

錯(cuò)誤信息：

/var/log/apache2/error.log

其它信息：

/var/log/apache2/access.log

在命令行查看這些日志：（需要root權(quán)限）

2、 cat 、head、more、vi、vim等命令都可以查看及編輯apche的日志文件

$sudo cat /var/log/apache2/error.log

$ sudo vi /var/log/apache2/error.log

3、tailf命令可以持續(xù)查看文件更新信息：

$sudo tailf /var/log/apache2/access.log

注意：如果是直接root登陸,可以把sudo去掉。

linux2-查日志

tail catalina.out

查最后10行

tail -f filename

輸出最后10行內(nèi)容，同時(shí)監(jiān)視文件的改變，只要文件有一變化就顯示出來。

tail -n 5 filename 或者 tail -5 filename

輸出文件最后5行的內(nèi)容

tail -nf catalina.out

輸出文件最后n行的內(nèi)容，同時(shí)監(jiān)視文件的改變，只要文件有一變化就同步刷新并顯示出來

more catalina.out

命令會(huì)從前往后一頁一頁的顯示

空格是下一頁；按 b 鍵就會(huì)往回（back）一頁顯示；= 輸出當(dāng)前行的行號(hào)

more +n catalina.out

從笫 n 行開始顯示

more -n catalina.out

定義屏幕大小為 n 行，每次顯示n行

more +/"this aaa" catalina.log

從 catalina.log文件中查找第一個(gè)出現(xiàn)"this aaa"字符串的行，并從該處前兩行開始[顯示輸出]

cat catalina.out

查看

cat my.txt EOF

添加內(nèi)容

cat my.txt EOF

追加內(nèi)容

cat a.txt b.txt c.txt d.txt

合并多個(gè)文件到一個(gè)文件中

q 退出less

空格鍵 向下滾動(dòng)一屏；

b 向上滾動(dòng)一屏；

回車鍵 向下移動(dòng)一行；

y 向上移動(dòng)一行；

d 向下滾動(dòng)半屏；

u 向上洋動(dòng)半屏；

g 跳到第一行；

G 跳到最后一行；

w 可以指定顯示哪行開始顯示，是從指定數(shù)字的下一行顯示；比如指定的是6，那就從第7行顯示；

p n% 跳到n%，比如 10%，也就是說比整個(gè)文件內(nèi)容的10%處開始顯示；

/pattern 搜索pattern ，比如 /MAIL表示在文件中搜索MAIL單詞；

v 調(diào)用vi編輯器；

h less的幫助；

head -n 5 catalina.log 或者 head -5 catalina.log

顯示文件前5行

zgrep "xxxx" catalian.gz

不解壓過濾壓縮包中文本

加顏色

grep -C6 --color

Linux運(yùn)維知識(shí)：從命令行如何查看Linux日志

1.查看日志常用命令

(1)tail: ?

-n ?是顯示行號(hào)；相當(dāng)于nl命令；例子如下：

tail -100f test.log ? ? ?實(shí)時(shí)監(jiān)控100行日志

tail ?-n ?10 ?test.log ? 查詢?nèi)罩疚膊孔詈?0行的日志;

tail -n +10 test.log ? ?查詢10行之后的所有日志;

(2)head: ?

跟tail是相反的，tail是看后多少行日志；例子如下：

head -n 10 ?test.log ? 查詢?nèi)罩疚募械念^10行日志;

head -n -10 ?test.log ? 查詢?nèi)罩疚募俗詈?0行的其他所有日志;

(3)cat：?

tac是倒序查看，是cat單詞反寫；例子如下：

cat -n test.log |grep "debug" ? 查詢關(guān)鍵字的日志

2. 應(yīng)用場(chǎng)景一：按行號(hào)查看---過濾出關(guān)鍵字附近的日志

(1)cat -n test.log |grep "debug" ?得到關(guān)鍵日志的行號(hào)

(2)cat -n test.log |tail -n +92|head -n 20 ?選擇關(guān)鍵字所在的中間一行. 然后查看這個(gè)關(guān)鍵字前10行和后10行的日志:

tail -n +92表示查詢92行之后的日志

head -n 20 則表示在前面的查詢結(jié)果里再查前20條記錄

3. 應(yīng)用場(chǎng)景二：根據(jù)日期查詢?nèi)罩?/p>

sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' ?test.log

特別說明:上面的兩個(gè)日期必須是日志中打印出來的日志,否則無效；

先 grep '2014-12-17 16:17:20' test.log 來確定日志中是否有該 時(shí)間點(diǎn)

4.應(yīng)用場(chǎng)景三：日志內(nèi)容特別多，打印在屏幕上不方便查看

(1)使用more和less命令,

如： cat -n test.log |grep "debug" |more ? ? 這樣就分頁打印了,通過點(diǎn)擊空格鍵翻頁

(2)使用 xxx.txt 將其保存到文件中,到時(shí)可以拉下這個(gè)文件分析

如：cat -n test.log |grep "debug" ?debug.txt

linux下怎么把日志拷貝出來

1、首先進(jìn)入系統(tǒng)日志，所有服務(wù)的登錄的文件或錯(cuò)誤信息文件，都在/var/log/記錄下來 ?cd /var/log/。

2、/var/log/secure：記錄登錄系統(tǒng)存取數(shù)據(jù)的文件;/var/log/message:幾乎所有的開機(jī)系統(tǒng)發(fā)生的錯(cuò)誤都會(huì)在此記錄。

3、tail ?-n ?10 ?filename.log執(zhí)行這個(gè)命令，查詢?nèi)罩疚膊孔詈?0行的日志。

4、tail ?-n ?+20 ?filename.log，查詢20行之后的日志。

5、head -n 20? filename.log 查詢?nèi)罩厩笆畻l。

6、cat -n filename.log |grep "1.0.0" ?安裝關(guān)鍵詞“1.0.0”進(jìn)行搜索日志。

Linux服務(wù)器查看日志的幾種方法

1、通過linux命令行工具（如：xshell4工具），連接到指定服務(wù)器；

2、通過cd

命令進(jìn)入指定文件目錄，回車；（如：cd

/usr/ibm/websphere/appserver/profiles/emall0202/logs），

3、使用

命令：tail

-f

systemout.log

4、進(jìn)行動(dòng)態(tài)跟蹤；（注意：跟蹤時(shí)，先執(zhí)行命令，再發(fā)http請(qǐng)求，然后回到命令行工具，退出同動(dòng)態(tài)跟蹤(使用ctrl+c)）

5、怎么最快的索引到關(guān)鍵字，使用

vi

systemout.log

打開日志文件；（vi命令等同于windows里的打開視圖編輯器）

6、打開以后，使用“

/

”

+

”關(guān)鍵字“

，回車即可；

小竅門：

1、當(dāng)輸入一個(gè)已有的文件/文件目錄的首字母，然后按tab鍵，會(huì)自動(dòng)索引對(duì)應(yīng)的文件名或提示）；

2、cd

..

為回退到父文件夾命令，中間有個(gè)空格；

3、ls

命令列出文件夾下的所有文件；

4、linux

的vi編輯器退出方法。

先esc

:

q

在未作修改的情況下退出！

:

q!

放棄所有修改，退出編輯程序！