Linux運維知識：從命令行如何查看Linux日志

1.查看日志常用命令

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)建站！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、成都小程序開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了陽泉免費建站歡迎大家使用！

(1)tail: ?

-n ?是顯示行號；相當(dāng)于nl命令；例子如下：

tail -100f test.log ? ? ?實時監(jiān)控100行日志

tail ?-n ?10 ?test.log ? 查詢?nèi)罩疚膊孔詈?0行的日志;

tail -n +10 test.log ? ?查詢10行之后的所有日志;

(2)head: ?

跟tail是相反的，tail是看后多少行日志；例子如下：

head -n 10 ?test.log ? 查詢?nèi)罩疚募械念^10行日志;

head -n -10 ?test.log ? 查詢?nèi)罩疚募俗詈?0行的其他所有日志;

(3)cat：?

tac是倒序查看，是cat單詞反寫；例子如下：

cat -n test.log |grep "debug" ? 查詢關(guān)鍵字的日志

2. 應(yīng)用場景一：按行號查看---過濾出關(guān)鍵字附近的日志

(1)cat -n test.log |grep "debug" ?得到關(guān)鍵日志的行號

(2)cat -n test.log |tail -n +92|head -n 20 ?選擇關(guān)鍵字所在的中間一行. 然后查看這個關(guān)鍵字前10行和后10行的日志:

tail -n +92表示查詢92行之后的日志

head -n 20 則表示在前面的查詢結(jié)果里再查前20條記錄

3. 應(yīng)用場景二：根據(jù)日期查詢?nèi)罩?/p>

sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' ?test.log

特別說明:上面的兩個日期必須是日志中打印出來的日志,否則無效；

先 grep '2014-12-17 16:17:20' test.log 來確定日志中是否有該 時間點

4.應(yīng)用場景三：日志內(nèi)容特別多，打印在屏幕上不方便查看

(1)使用more和less命令,

如： cat -n test.log |grep "debug" |more ? ? 這樣就分頁打印了,通過點擊空格鍵翻頁

(2)使用 xxx.txt 將其保存到文件中,到時可以拉下這個文件分析

如：cat -n test.log |grep "debug" ?debug.txt

如何實時查看linux下的日志

Linux日志文件在/var/log目錄下，可以通過命令查看日志文件。

1，cat messages可以查看某個日志文件。

2，要達到實時更新，可以通過tail命令查看更新的數(shù)據(jù)，例如tail -f messages。

3，tail命令參數(shù)：

-f 循環(huán)讀取

-q 不顯示處理信息

-v 顯示詳細的處理信息

-c數(shù)目 顯示的字節(jié)數(shù)

-n行數(shù) 顯示行數(shù)

--pid=PID 與-f合用,表示在進程ID,PID死掉之后結(jié)束.

-q, --quiet, --silent 從不輸出給出文件名的首部

-s, --sleep-interval=S 與-f合用,表示在每次反復(fù)的間隔休眠S秒。

linux 中的 查看進程 查看日志 查看內(nèi)存的命令怎么寫？

當(dāng)前進程：ps

-ef

|grep

服務(wù)名字

例如查看tomcat進程，ps

-ef

|grep

tomcat

或者知道端口，使用netstat命令或者top

查看所有進程查看內(nèi)存：free

-m

或者ipcs查看日志：你需要分清查看應(yīng)用日志還是系統(tǒng)日志，系統(tǒng)日志在/var/log下面

如何查看linux系統(tǒng)下的各種日志文件 linux 系統(tǒng)日志的分析大全

日志文件詳細地記錄了系統(tǒng)每天發(fā)生的各種各樣的事件。用戶可以通過日志文件檢查錯誤產(chǎn)生的原因，或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡。日志的兩個比較重要的作用是：審核和監(jiān)測。

Linux系統(tǒng)的日志主要分為兩種類型：

1．進程所屬日志

由用戶進程或其他系統(tǒng)服務(wù)進程自行生成的日志，比如服務(wù)器上的access_log與error_log日志文件。

2．syslog消息

系統(tǒng)syslog記錄的日志，任何希望記錄日志的系統(tǒng)進程或者用戶進程都可以給調(diào)用syslog來記錄日志。

日志系統(tǒng)可以劃分為三個子系統(tǒng)：

1． 連接時間日志--由多個程序執(zhí)行，把紀(jì)錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。

2． 進程統(tǒng)計--由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個進程終止時，為每個進程往進程統(tǒng)計文件（pacct或acct）中寫一個紀(jì)錄。進程統(tǒng)計的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計。

3． 錯誤日志--由syslogd（8）執(zhí)行。各種系統(tǒng)守護進程、用戶程序和內(nèi)核通過syslog（3）向文件/var/log/messages報告值得注意的事件。

2．察看日志文件

Linux系統(tǒng)所有的日志文件都在/var/log下，且必須有root權(quán)限才能察看。

日志文件其實是純文本的文件，每一行就是一個消息。察看方式有很多。

1． cat命令。日志文件總是很大的，因為從第一次啟動Linux開始，消息都累積在日志文件中。如果這個文件不只一頁，那么就會因為顯示滾動得太快看不清文件的內(nèi)容。

2． 文本編輯器。最好也不要用文本編輯器打開日志文件，這是因為一方面很耗費內(nèi)存，另一方面不允許隨意改動日志文件。

3．用more或less那樣的分頁顯示程序。

4．用grep查找特定的消息。

每一行表示一個消息，而且都由四個域的固定格式組成：

n 時間標(biāo)簽（timestamp），表示消息發(fā)出的日期和時間

n 主機名（hostname）（在我們的例子中主機名為escher），表示生成消息的計算機的名字。如果只有一臺計算機，主機名就可能沒有必要了。但是，如果在網(wǎng)絡(luò)環(huán)境中使用syslog，那么就可能要把不同主機的消息發(fā)送到一臺服務(wù)器上集中處理。

n 生成消息的子系統(tǒng)的名字?？梢允?kernel"，表示消息來自內(nèi)核，或者是進程的名字，表示發(fā)出消息的程序的名字。在方括號里的是進程的PID。

n 消息（message），剩下的部分就是消息的內(nèi)容。

舉例：

在[root@localhost root]# 提示符下輸入：tail /var/log/messages

Jan 05 21:55:51 localhost last message repeated 3 times

Jan 05 21:55:51 localhost kernel: [drm] AGP 0.99 on Intel i810 @ 0xf0000000 128M

B

Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor

Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz

e(0x12c000) boundary

Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f

or user root by (uid=0)

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 正在啟動（版本 2.

2.0），pid 4162 用戶"root"

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re

adonly:/etc/gconf/gconf.xml.mandatory"指向位于 0 的只讀配置源

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re

adwrite:/root/.gconf"指向位于 1 的可寫入配置源

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re

adonly:/etc/gconf/gconf.xml.defaults"指向位于 2 的只讀配置源

Jan 05 21:58:20 localhost kernel: MSDOS FS: IO charset cp936

值得注意的是，與連接時間日志不同，進程統(tǒng)計子系統(tǒng)默認(rèn)不激活，它必須啟動。在Linux

系統(tǒng)中啟動進程統(tǒng)計使用accton命令，必須用root身份來運行。accton命令的形式為：accton

file，file必須事先存在。先使用touch命令創(chuàng)建pacct文件：touch

/var/log/pacct，然后運行accton：accton

/var/log/pacct。一旦accton被激活，就可以使用lastcomm命令監(jiān)測系統(tǒng)中任何時候執(zhí)行的命令。若要關(guān)閉統(tǒng)計，可以使用不帶任何

參數(shù)的accton命令。

3．日志系統(tǒng)工作原理及配置

3.1 syslog

它同closelog, openlog共同給system logger發(fā)送消息。

Linux內(nèi)核由很多子系統(tǒng)組成，包括網(wǎng)絡(luò)、文件訪問、內(nèi)存管理等。子系統(tǒng)需要給用戶傳送一些消息，這些消息內(nèi)容包括消息的來源及其重要性等。所有的子系統(tǒng)都要把消息送到一個可以維護的公用消息區(qū)。于是，就有了一個叫Syslog的程序。

這個程序負責(zé)接收消息（比如：系統(tǒng)核心和許多系統(tǒng)程序產(chǎn)生的錯誤信息、警告信息和其他信息，每個信息都包括重要級），并把消息分發(fā)到合適的地方。通常情況

下，所有的消息都被記錄到特定的文件——日志文件中（通常是/var/adm或/var/log目錄下的messages文件），特別重要的消息也會在用

戶終端窗口上顯示出來。

syslog工具有兩個重要文件：syslogd和syslog.Conf

它能接受訪問系統(tǒng)的日志信息并且根據(jù) "/etc/syslog.conf" 配置文件中的指令處理這些信息。守護進程和內(nèi)核提供了訪問系統(tǒng)的日志信息。因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成該信息。

3.2 syslogd守護進程

　就象其它復(fù)雜的操作系統(tǒng)那樣，Linux也是由很多不同的子系統(tǒng)組成的。有些叫做daemon的程序一直在后臺運行（daemon：守護神之意。也就是

說，他們"默默無聞"，不需要和用戶交互），處理一些象打印、發(fā)送郵件、建立Internet連接，等等日常工作。每一個子系統(tǒng)發(fā)出日志消息的時候都會給

消息指定一個類型。一個消息分成兩個部分："設(shè)備（facility）"和"級別(level)"。"設(shè)備"標(biāo)識發(fā)出消息的子系統(tǒng)，可以把同一類型的消息組合在一起，"級別"表示消息的重要性，其范圍從debug（最不重要）到emerg（最重要），facility和level組合起來稱為priority。（詳細解釋參照5.3）

/usr/include/sys/syslog.h中對此有相關(guān)的定義。

用戶看不到daemon程序，因為它們沒有窗口和用戶界面。但是，這些程序有時候也要給用戶傳遞一些信息。為了實現(xiàn)這個目的，就需要一個特殊的機制。syslogd就是daemon的一個很好的例子，它在后臺運行并且把消息從日志區(qū)轉(zhuǎn)移到日志文件中去。

函數(shù)接口

#include

void openlog( char * , int , int )

其中，可以是以下值的OR組合：

LOG_CONS : 如果消息無法送到syslogd，直接輸出到系統(tǒng)console。

LOG_NDELAY : 立即打開到syslogd的連接，默認(rèn)連接是在第一次寫入訊息時才打開的。

LOG_PERROR : 將消息也同時送到stderr 上

LOG_PID : 將PID記錄到每個消息中

void syslog( int , char * )

其中，是facility和level的OR組合

void closelog( void )

一般只需要用syslog()函數(shù)，其他函數(shù)可以不用。

3.3 syslog.conf

這是一個非常重要的文件。位于"/etc/"目錄下。通知 syslogd 如何根據(jù)設(shè)備和信息重要級別來報告信息。

該文件使用下面的形式：

facility.level action

syslog.conf 的第一列facility.level用來指定日志功能和日志級別，中間用.隔開，可以使用*來匹配

所有的日志功能和日志級別。第二列action是消息的分發(fā)目標(biāo)。

空白行和以#開頭的行是注釋，可以忽略。

Facility.level 字段也被稱做選擇域（seletor）。

n facility 指定 syslog 功能，主要包括以下這些：

auth 由 pam_pwdb 報告的認(rèn)證活動。

authpriv 包括特權(quán)信息如用戶名在內(nèi)的認(rèn)證活動

cron 與 cron 和 at 有關(guān)的信息。

daemon 與 inetd 守護進程有關(guān)的信息。

kern 內(nèi)核信息，首先通過 klogd 傳遞。

lpr 與打印服務(wù)有關(guān)的信息。

mail 與電子郵件有關(guān)的信息

mark syslog 內(nèi)部功能用于生成時間戳

news 來自新聞服務(wù)器的信息

syslog 由 syslog 生成的信息

user 由用戶程序生成的信息

uucp 由 uucp 生成的信息

local0----local7 與自定義程序使用，例如使用 local5 做為 ssh 功能

* 通配符代表除了 mark 以外的所有功能

level 級別，決定訊息的重要性。

與每個功能對應(yīng)的優(yōu)先級是按一定順序排列的，emerg 是最高級，其次是 alert，依次類推。缺省時，在 /etc/syslog.conf 記錄中指定的級別為該級別和更高級別。如果希望使用確定的級別可以使用兩個運算符號！(不等)和=。

例如：user.=info 表示告知 syslog 接受所有在 info 級別上的 user 功能信息。

n 以下的等級重要性逐次遞減:

emerg 該系統(tǒng)不可用

alert 需要立即被修改的條件

crit 阻止某些工具或子系統(tǒng)功能實現(xiàn)的錯誤條件

err 阻止工具或某些子系統(tǒng)部分功能實現(xiàn)的錯誤條件

warning 預(yù)警信息

notice 具有重要性的普通條件

info 提供信息的消息

debug 不包含函數(shù)條件或問題的其他信息

none 沒有重要級，通常用于排錯

* 所有級別，除了none

n action 字段為動作域，所表示的活動具有許多靈活性，特別是，可以使用名稱管道的作用是可以使 syslogd 生成后處理信息。

syslog 主要支持以下活動：

file 將消息追加到指定的文件尾

terminal 或 print 完全的串行或并行設(shè)備標(biāo)志符

@host 遠程的日志服務(wù)器

username 將消息寫到指定的用戶

named pipe 指定使用 mkfifo 命令來創(chuàng)建的 FIFO 文件的絕對路徑。

* 將消息寫到所有的用戶

選擇域指明消息的類型和優(yōu)先級；動作域指明syslogd接收到一個與選擇標(biāo)準(zhǔn)相匹配的消息時所執(zhí)行的動作。每個選項是由設(shè)備和優(yōu)先級組成。當(dāng)指明一個優(yōu)先級時，syslogd將紀(jì)錄一個擁有相同或更高優(yōu)先級的消息。比如如果指明"crit"，則所有標(biāo)為crit、alert和emerg的消息將被紀(jì)錄。每行的行動域指明當(dāng)選擇域選擇了一個給定消息后應(yīng)該把他發(fā)送到什么地方。

以下是一個實際站點的配置（syslog.conf）文件：

# Store critical stuff in critical

#

*.=crit;kern.none /var/adm/critical

這個將把所有信息以優(yōu)先權(quán)的crit保存在/var/adm/critical文件中，除了一些內(nèi)核信息

# Kernel messages are first, stored in the kernel

# file, critical messages and higher ones also go

# to another host and to the console

#

kern.* /var/adm/kernel

kern.crit @finlandia

kern.crit /dev/console

kern.info;kern.!err /var/adm/kernel-info

第一條代碼指引一些內(nèi)核設(shè)備訪問文件/var/adm/kernel的信息。

第二條代碼直接引導(dǎo)所有擁有crit和更高優(yōu)先權(quán)的內(nèi)核信息訪問遠程主機。如果它們也存儲在遠程主機上，仍舊可以試著找到毀壞的原因。

第四行說明syslogd 保存了所有擁有info 到warning優(yōu)先級的內(nèi)核信息在/var/adm/kernel-info文件夾下。所有err和更高優(yōu)先級的被排除在外。

# The tcp wrapper loggs with mail.info, we display

# all the connections on tty12

#

mail.=info /dev/tty12

這個引導(dǎo)所有使用mail.info (in source LOG_MAIL | LOG_INFO)的信息到/dev/tty12下，第12

個控制臺。例如tcpwrapper

tcpd

(8)載缺省時使用這個

# Store all mail concerning stuff in a file

mail.*;mail.!=info /var/adm/mail

模式匹配了所有具有mail功能的信息，除了擁有info優(yōu)先級的。他們將被保存在文件/var/adm/mail中

# Log all mail.info and news.info messages to info

#

mail,news.=info /var/adm/info

提取所有具有mail.info 或news.info 功能優(yōu)先級的信息存儲在文件/var/adm/info中

# Log info and notice messages to messages file

#

*.=info;*.=notice;\

mail.none /var/log/messages

使所有syslogd日志中具有info 或notice功能的信息存儲在文件/var/log/messages中，除了所有mail功能的信息

# Log info messages to messages file

#

*.=info;\

mail,news.none /var/log/messages

這個聲明使syslogd日志中所有具有info優(yōu)先權(quán)的信息存儲在/var/log/messages文件中。但是一些有mail 或news功能的信息不能被存儲。

# Emergency messages will be displayed using wall

#

*.=emerg *

這行代碼告訴syslogd寫所有緊急信息到所有當(dāng)前登陸用戶日志中。這個將被實現(xiàn)

# Messages of the priority alert will be directed

# to the operator

#

*.alert root,joey

*.* @finlandia

這個代碼指引所有具有alert 或更高級權(quán)限的信息到終端操作。

第二行代碼引導(dǎo)所有信息到叫做finlandia的遠程主機。這個代碼非常有用，特別是在所有syslog信息將被保存到一臺機器上的群集計算機。

3.4 klogd 守護進程

klog是一個從UNIX內(nèi)核接受消息的設(shè)備

klogd

守護進程獲得并記錄 Linux 內(nèi)核信息。通常，syslogd 會記錄 klogd

傳來的所有信息。也就是說，klogd會讀取內(nèi)核信息，并轉(zhuǎn)發(fā)到syslogd進程。然而，如果調(diào)用帶有 -f filename 變量的 klogd

時，klogd 就在 filename 中記錄所有信息，而不是傳給 syslogd。當(dāng)指定另外一個文件進行日志記錄時，klogd

就向該文件中寫入所有級別或優(yōu)先權(quán)。Klogd 中沒有和 /etc/syslog.conf 類似的配置文件。使用 klogd 而避免使用

syslogd 的好處在于可以查找大量錯誤。

總結(jié)

其中，箭頭代表發(fā)送消息給目標(biāo)進程或者將信息寫入目標(biāo)文件。

圖1 Linux日志系統(tǒng)

日志管理及日志保護

logrotate程序用來幫助用戶管理日志文件，它以自己的守護進程工作。logrotate周期性地旋轉(zhuǎn)日志文件，可以周期性地把每個日志文件重命名

成一個備份名字，然后讓它的守護進程開始使用一個日志文件的新的拷貝。在/var/log/下產(chǎn)生如maillog、maillog.1、

maillog.2、boot.log.1、boot.log.2之類的文件。它由一個配置文件驅(qū)動，該文件是

/etc/logroatate.conf。

以下是logroatate.conf文件例子：

# see "man logrotate" for details

# rotate log files weekly

weekly

#以7天為一個周期

# keep 4 weeks worth of backlogs

rotate 4

#每隔4周備份日志文件

# send errors to root

errors root

#發(fā)生錯誤向root報告

# create new (empty) log files after rotating old ones

create

#轉(zhuǎn)完舊的日志文件就創(chuàng)建新的日志文件

# uncomment this if you want your log files compressed

#compress

#指定是否壓縮日志文件

# RPM packages drop log rotation information into this directory

include /etc/logrotate.d

# no packages own lastlog or wtmp -- we'll rotate them here

/var/log/wtmp {

monthly

create 0664 root utmp

rotate 1

}

# system-specific logs may be configured here

在網(wǎng)絡(luò)應(yīng)用中，有一種保護日志的方式，在網(wǎng)絡(luò)中設(shè)定一臺秘密的syslog主機，把這臺主機的網(wǎng)卡設(shè)為混雜模式，用來監(jiān)聽子網(wǎng)內(nèi)所有的syslog包，這

樣把所有需要傳送日志的主機配置為向一臺不存在的主機發(fā)送日志即可。這樣即使黑客攻陷了目標(biāo)主機，也無法通過syslog.conf文件找到備份日志的主

機，那只是一個不存在的主機。實際操作中還可以輔以交換機的配置，以確保syslog包可以被備份日志主機上的syslog進程接受到。比如把

syslog.conf中的傳送日志主機設(shè)為

@192.168.0.13，但實際網(wǎng)絡(luò)中不存在這個日志主機，實際可能是192.168.0.250或者其他主機正在接受syslog包。