一、必备基础知识

Linux系统日志主要存储在/var/log/目录下，常见日志文件包括：

• 系统日志：/var/log/messages或/var/log/syslog
• 认证日志：/var/log/auth.log
• 内核日志：/var/log/kern.log
• 启动日志：/var/log/boot.log
• 应用日志：如/var/log/nginx/等

二、8种核心查看方法

1. cat命令 - 简单查看

cat /var/log/syslog

适合查看小文件，大文件会导致终端刷屏。

2. less/more命令 - 分页查看

less /var/log/messages
# 或
more /var/log/messages

支持上下翻页，按q退出。

3. tail命令 - 实时监控

tail -f /var/log/nginx/access.log

-f参数可以持续显示新增内容，非常适合监控实时日志。

4. grep命令 - 精准过滤

grep "error" /var/log/syslog
# 或使用正则表达式
grep -E "404|500" /var/log/nginx/access.log

配合正则表达式可实现复杂过滤。

5. journalctl - systemd系统日志

journalctl -xe
# 查看指定服务日志
journalctl -u nginx.service

现代Linux发行版推荐使用此命令查看系统日志。

6. zgrep - 查看压缩日志

zgrep "error" /var/log/syslog.1.gz

直接搜索.gz压缩包中的内容，无需解压。

7. multitail - 多窗口监控

multitail /var/log/nginx/access.log /var/log/nginx/error.log

高级工具，需要额外安装，可同时监控多个日志文件。

8. logrotate - 日志轮转管理

logrotate -vf /etc/logrotate.conf

管理日志文件的自动轮转和压缩。

三、高级技巧

1. 组合命令使用

cat /var/log/syslog | grep "error" | less

2. 时间范围过滤

sed -n '/2023-10-01 10:00/,/2023-10-01 11:00/p' /var/log/syslog

3. 日志分析工具

• ELK Stack (Elasticsearch, Logstash, Kibana)
• Graylog
• Splunk