在Linux系统中,日志记录是系统管理和故障排查的核心,掌握日志截取方法能有效提升工作效率,日志通常存储在/var/log目录下,如系统日志/var/log/syslog、安全日志/var/log/auth.log、应用日志(如Nginx的/var/log/nginx/access.log)等,截取日志主要通过命令行工具实现,以下详细介绍常用方法及技巧。
基础命令截取日志
grep:关键词过滤
grep是按关键词过滤日志的核心工具,支持正则表达式和多种参数。
- 基础用法:
grep "关键词" 日志文件,如grep "error" /var/log/syslog(过滤含“error”的行)。 - 常用参数:
-i:忽略大小写,如grep -i "ERROR" /var/log/nginx/error.log;-v:反向过滤(排除关键词),如grep -v "success" /var/log/auth.log(查看失败的登录尝试);-c:统计匹配行数,如grep -c "failed" /var/log/secure;-n:显示行号,如grep -n "192.168.1.1" /var/log/apache2/access.log。
tail:查看日志末尾
tail用于截取日志文件的末尾部分,适合实时监控最新日志。
- 基础用法:
tail -n 行数 日志文件,如tail -n 100 /var/log/messages(查看最后100行)。 - 实时监控:
tail -f 日志文件(持续跟踪新增日志,Ctrl+C退出),如tail -f /var/log/mysql/error.log实时查看MySQL错误日志。
head:查看日志开头
head与tail相反,用于截取文件开头部分,适合查看日志的开端内容。
- 基础用法:
head -n 行数 日志文件,如head -n 50 /var/log/cron(查看前50行定时任务日志)。
sed:流编辑器提取行/范围
sed支持按行号、正则表达式提取特定内容,适合复杂截取需求。
- 按行号提取:
sed -n '起始行号,结束行号p' 日志文件,如sed -n '10,20p' /var/log/kern.log(提取第10-20行)。 - 按模式提取:
sed -n '/模式1/,/模式2/p' 日志文件,如sed -n '/Oct 01 10:00:/,/Oct 01 11:00:/p' /var/log/syslog(提取时间范围内的日志)。
awk:按列/条件处理
awk基于列或字段进行截取,适合结构化日志(如Web访问日志)。
- 按列提取:
awk '{print 列号1,列号2}' 日志文件,如awk '{print $1, $7}' /var/log/nginx/access.log(打印IP和请求路径,默认以空格分隔列)。 - 按条件过滤:
awk '条件 {print}' 日志文件,如awk '$9 == "404" {print $1, $7}' /var/log/apache2/access.log(提取404错误的IP和路径)。
journalctl:Systemd系统日志管理
对于使用systemd的系统,journalctl是核心日志工具,支持按服务、时间、优先级等截取。
- 按服务过滤:
journalctl -u 服务名,如journalctl -u nginx.service(查看Nginx服务日志)。 - 时间范围:
journalctl --since "YYYY-MM-DD HH:MM:SS" --until "YYYY-MM-DD HH:MM:SS",如journalctl --since "2023-10-01 10:00" --until "2023-10-01 12:00"。 - 实时监控:
journalctl -f(持续跟踪最新日志),结合-u参数可指定服务,如journalctl -f -u mysql.service。
常用命令对比及示例
| 命令 | 主要用途 | 常用参数/示例 |
|---|---|---|
| grep | 按关键词过滤 | -i(忽略大小写)、-v(反向)、grep "POST" /var/log/nginx/access.log |
| tail | 查看末尾/实时监控 | -n 100(末尾100行)、-f(实时跟踪) |
| head | 查看开头 | -n 50(前50行) |
| sed | 按行号/模式提取 | -n '10,20p'(10-20行)、-n '/error/,/warning/p'(模式范围) |
| awk | 按列/条件处理 | '{print $1, $7}'(IP和路径)、'$9=="404" {print}'(404错误) |
| journalctl | Systemd日志管理 | -u nginx(服务日志)、--since "2023-10-01"(时间范围)、-f(实时) |
高级技巧
- 组合命令:通过管道符组合多个命令,实现复杂截取,如
grep "error" /var/log/syslog | tail -n 20(过滤“error”的最后20行)。 - 时间戳截取:结合
date命令动态生成时间范围,如sed -n "/$(date '+%Y-%m-%d') 10:00:/,/$(date '+%Y-%m-%d') 11:00:/p" /var/log/messages。 - 正则表达式:
grep -E支持扩展正则,如grep -E "^(error|warning)" /var/log/app.log(匹配行首为“error”或“warning”的行)。
相关问答FAQs
Q1: 如何截取指定时间段内的日志?
A: 可根据日志类型选择工具:
- 对于文本日志(如
/var/log/syslog),用sed结合时间戳:sed -n '/2023-10-01 10:00:00/,/2023-10-01 11:00:00/p' /var/log/syslog; - 对于Systemd日志,用
journalctl的--since和--until:journalctl --since "2023-10-01 10:00:00" --until "2023-10-01 11:00:00"。
Q2: 如何实时监控日志并只显示包含特定关键词的行?
A: 使用tail -f结合grep实现实时过滤:
- 文本日志:
tail -f /var/log/nginx/access.log | grep "POST"(实时监控Nginx访问日志并显示POST请求); - Systemd日志:
journalctl -f -u mysql.service | grep "error"(实时监控MySQL服务日志并显示错误信息)。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/36709.html
