在 Linux 运维工作中,日志是最直接的排查线索。一台服务器出问题,第一步往往就是“看日志”。
但对于刚入行的运维新人来说,打开 /var/log/ 目录,面对几十个文件常常一脸茫然。
其实,掌握下面 5 个最常用的命令,就能快速从日志中找到问题根源。
1. tail -f:实时监控日志更新
用途:一边运行服务一边看它有没有报错
示例:tail -f /var/log/messages
适合场景:观察系统日志、服务输出、进程状态等。比如启动 nginx 时直接监控是否报错。
2. grep:关键词快速定位问题
用途:从大量日志中精准筛选
示例:grep "error" /var/log/nginx/error.log
适合查找常见关键词,如 error、failed、timeout 等。可配合 tail 或 cat 联合使用。
3. journalctl:查看 systemd 管理的服务日志
用途:查服务启动失败、异常重启等信息
示例:journalctl -u nginx.service --since today
适用系统:CentOS 7+、Ubuntu 16.04+ 等基于 systemd 的系统。相比传统日志更细致。
4. less:高效分页浏览日志内容
用途:查阅大体积日志文件
示例:less /var/log/syslog
支持搜索、翻页、跳转。适合定位旧问题或阅读历史记录。输入 /关键词 搜索,按 q 退出。
5. cat + sort/uniq:统计类日志分析
用途:找出某类事件频率、类型等
示例:
cat /var/log/secure | grep sshd | awk '{print $9}' | sort | uniq -c | sort -nr
可用于分析 SSH 登录失败次数、攻击来源 IP、用户名频率等。
常见日志文件路径说明
- /var/log/messages:通用系统日志,绝大多数事件都会记录
- /var/log/secure:权限、安全、登录相关日志
- /var/log/nginx/ 或 /var/log/httpd/:Web 服务相关日志
- /var/log/audit/:开启 audit 审计功能后的安全记录
结语:日志不在多,在于会看
能看懂日志,能用对命令,才能快速定位问题。这是每位合格 Linux 运维工程师的起点。