Linux日志分析标准动作链为:定位关键日志→提取时间线与异常信号→关联上下文确认根因;需明确日志位置、用时间/关键词快速筛选、解析日志结构、横向验证。
Linux日志分析没有万能模板,但有一套可复用的标准动作链:定位关键日志 → 快速提取时间线与异常信号 → 关联上下文确认根因。核心不在于命令多炫酷,而在于每一步都指向明确目标。
一、先搞清“日志在哪、谁在记、记了什么”
系统日志集中在 /var/log/ 目录,不同发行版命名略有差异:
-
Ubuntu/Debian 系统:主日志是
/var/log/syslog,安全认证日志是/var/log/auth.log -
CentOS/RHEL/UOS 系统:主日志是
/var/log/messages,安全日志是/var/log/secure -
内核启动信息:看
/var/log/dmesg或运行dmesg -T -
systemd 服务日志:统一走
journalctl,比如查 SSH:journalctl -u ssh.service -
应用日志位置不固定:UOS 应用多在
~/.cache/deepin/<app>/</app>,服务类(如 Nginx、MySQL)通常在/var/log/<app>/</app>
二、三步锁定问题时间窗口和异常线索
别从头翻日志。先用时间+关键词缩小范围:
- 查某天某时段:比如 12 月 10 日上午的登录失败记录
grep "Dec 10" /var/log/auth.log | grep -i "failed password" - 查最近实时动态(适合正在发生的故障):
tail -f /var/log/syslog或journalctl -f -n 50 - 查错误高频词(忽略大小写):
grep -i "error\|fail\|denied\|oom\|segfault" /var/log/messages | head -n 20 - 查某进程的完整行为链(含前后 3 行上下文):
grep -C 3 "sshd\[12345\]" /var/log/secure(注意 PID 要加反斜杠转义)
三、看懂日志行结构,避免误读关键信息
典型日志条目格式:
标签: mysql linux word centos nginx app ubuntu ai
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~