如何筛选CentOS重要消息

筛选 CentOS 重要消息的高效方法

一 核心日志与定位

• 系统级与通用消息：优先关注**/var/log/messages**（系统一般信息、服务启动/停止、内核消息等），辅以**/var/log/boot.log**（启动过程）、/var/log/dmesg（内核环缓冲，可用命令 dmesg 查看）。
• 安全相关：/var/log/secure（SSH 登录、sudo 等认证事件）、/var/log/audit/audit.log（审计日志，需启用 auditd）。
• 应用日志：Web 服务（/var/log/httpd/、/var/log/nginx/）、数据库（如 /var/log/mysqld.log 或 /var/log/mysql/error.log）、计划任务（/var/log/cron）。
• 现代系统（CentOS 7+）建议使用 journalctl 统一查询 systemd 日志，功能更强、过滤维度更丰富。

二 快速筛选命令

• 实时跟踪关键错误（journalctl）
  • 实时查看系统错误：journalctl -f -p err
  • 实时查看某服务错误（如 nginx）：journalctl -u nginx.service -f -p err
• 时间窗口与启动会话
  • 指定时间范围：journalctl --since “2025-12-24 00:00:00” --until “2025-12-25 23:59:59”
  • 查看本次启动：journalctl -b；查看上一次启动：journalctl -b -1
• 关键字与多条件过滤
  • 全局关键字：grep -E “ERROR|WARNING” /var/log/messages
  • 服务+级别：journalctl -u sshd.service -p err | grep “Failed”
• 安全事件速查
  • SSH 失败登录 Top N IP：grep “Failed password” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | head
  • 成功登录概览：last | head
• 内核与硬件
  • 内核日志：journalctl -k | grep -i “error”；或 dmesg | tail -n 50
• 字段提取与统计
  • 提取时间与进程：awk ‘{print $1, $3, $5}’ /var/log/messages
  • 统计 Nginx 5xx：awk ‘$9 >= 500 {print $0}’ /var/log/nginx/access_log | wc -l

三 按场景给出可直接使用的筛选命令

四 长期监控与告警

• 轻量日报：安装并使用 Logwatch 生成每日摘要（可邮件发送），便于例行巡检。
• 集中式平台：搭建 ELK Stack（Elasticsearch + Logstash + Kibana）或 Graylog，实现跨主机收集、检索、可视化与告警。
• 传统轮转：确保 logrotate 正确配置（如按天轮转、压缩、保留天数），避免日志过大影响性能与磁盘空间。

五 实用技巧与排错建议

• 权限与路径：多数日志需要 root 或 wheel 组权限；优先使用 journalctl 减少直接读文件的权限与解析差异。
• 时间格式：journalctl 支持 “2025-12-25 10:00:00”、“yesterday”、“1 hour ago” 等人类可读格式。
• 字段差异：/var/log/messages 的字段顺序与 syslog 格式有关，建议用 awk 按列提取并先小样本验证。
• 性能建议：大范围 grep/统计前先用时间窗口（如 --since）或 -n 限制行数，避免全量扫描。
• 审计日志：如需更细粒度（系统调用、文件访问），启用 auditd 并查询 /var/log/audit/audit.log。