对于linux系统查日志的最佳实践

在Linux系统下查看日志，以下是一些最佳实践和常用命令：

1. 基础查看命令

实时查看日志

# 实时查看日志更新（最常用）tail-f filename.log# 显示最后100行并实时更新tail-100f filename.log# 显示文件开头head-100 filename.log

分页查看

# 分页查看（可上下滚动）lessfilename.log# 搜索关键词（在less中）：# /关键词 # 向前搜索# ?关键词 # 向后搜索# n # 下一个匹配项# N # 上一个匹配项

直接查看

# 查看整个文件catfilename.log# 查看并显示行号cat-n filename.log# 或nlfilename.log

2. 搜索和过滤

grep - 最强大的搜索工具

# 搜索包含关键词的行grep"error"filename.log# 忽略大小写grep-i"error"filename.log# 显示匹配行及前后N行grep-A5-B5"error"filename.log# 前后各5行# 正则表达式搜索grep-E"error|warning|critical"filename.log# 统计匹配行数grep-c"error"filename.log# 反选（不包含关键词的行）grep-v"debug"filename.log

多个文件搜索

# 在当前目录所有.log文件中搜索grep"error"*.log# 递归搜索grep-r"error"/var/log/# 多个关键词grep-e"error"-e"fail"filename.log

3. 时间范围筛选

针对有时间戳的日志

# 查看最近1小时的日志sed-n'/$(date -d "1 hour ago" "+%Y-%m-%d %H:%M:%S")/,/$(date "+%Y-%m-%d %H:%M:%S")/p'filename.log# 使用awk按时间过滤awk'/2024-01-15 10:00:00/,/2024-01-15 11:00:00/'filename.log# 查看今天日志grep"$(date'+%Y-%m-%d')"filename.log

4. 组合命令（管道操作）

常用组合示例

# 查看最近错误并高亮显示tail-100f filename.log|grep--color=auto -i"error"# 统计错误类型grep"error"filename.log|cut-d' '-f4|sort|uniq-c|sort-rn# 查看最近10条错误tail-1000 filename.log|grep"error"|tail-10# 查看日志并按时间排序grep"error"*.log|sort-k1,2# 查找并查看上下文grep-n"exception"filename.log|head-5|awk-F:'{print $1}'|xargs-I{}awk'NR>={}-5 && NR<={}+5'filename.log

5. 日志分析和统计

常用分析命令

# 统计日志行数wc-l filename.log# 查看日志大小du-h filename.logls-lh filename.log# 统计IP访问次数（适用于web日志）awk'{print $1}'access.log|sort|uniq-c|sort-rn# 查看状态码分布awk'{print $9}'access.log|sort|uniq-c|sort-rn# 按小时统计日志量awk'{print $4}'access.log|cut-d: -f1,2|sort|uniq-c

6. 高级工具

使用awk进行高级处理

# 提取特定列awk'{print $1, $4, $7}'filename.log# 条件过滤awk'$9 == 500 {print $0}'access.log# 统计不同值awk'{count[$9]++} END {for(code in count) print code, count[code]}'access.log

使用sed进行文本替换

# 提取特定时间段sed-n'/2024-01-15 10:00:00/,/2024-01-15 11:00:00/p'filename.log

7. 实用技巧

压缩日志查看

# 查看gz压缩日志zcat filename.log.gz|grep"error"# 或zgrep"error"filename.log.gz# 查看多个压缩文件zgrep"error"*.log.gz

同时监控多个日志

# 使用multitail工具multitail filename1.log filename2.log# 使用tail监控多个文件tail-f *.log

日志颜色高亮

# 安装ccze进行彩色输出tail-f filename.log|ccze# 或使用grep高亮tail-f filename.log|grep--color=auto -E"error|warning|critical"

8. 推荐工作流程

1. 快速定位问题

   # 先看最近错误tail-200 filename.log|grep-i error

2. 分析时间线

   # 查找问题发生时间点grep-n"Exception"filename.log

3. 查看上下文

   # 查看异常前后的完整日志grep-A20-B10"关键错误信息"filename.log

4. 统计和汇总

   # 统计错误频率grep"error"filename.log|cut-d' '-f4-6|sort|uniq-c|sort-rn

建议安装的工具

# 增强工具sudoapt-getinstallccze lnav# Debian/Ubuntusudoyuminstallccze lnav# CentOS/RHEL# lnav - 日志导航器（强烈推荐）# 自动识别日志格式，支持SQL查询lnav filename.log

选择哪个命令取决于你的具体需求：实时监控用tail -f，搜索用grep，复杂分析用awk，交互查看用less或lnav。