基础命令工具
journalctl:查看systemd日志,支持实时刷新(-f)、按时间过滤(--since/--until)、按服务过滤(-u)等,如journalctl -f实时查看日志,journalctl --since "2025-01-01"查看指定时间段日志。grep:过滤关键词,如journalctl | grep "error"查找错误日志。awk/sed:处理复杂文本,如awk '{print $1}' /var/log/messages提取首列。日志文件位置
/var/log/messages(全局)、/var/log/secure(安全)、/var/log/boot.log(启动)。/var/log/nginx/access.log、Apache的/var/log/httpd/error_log。日志轮转管理
logrotate工具配置日志切割,避免单个文件过大,配置文件位于/etc/logrotate.conf或/etc/logrotate.d/。auditd)监控关键操作。
