Linux Minimal系统日志查看技巧
小樊
43
2025-11-22 13:52:27
Linux Minimal 系统日志查看技巧
一 常用入口与定位
- 在 Minimal 环境中,优先使用 journalctl 查看 systemd 日志;同时直接查看 /var/log 下的传统日志文件。常见路径与用途如下:
- 系统日志:/var/log/messages(RHEL/CentOS),/var/log/syslog(Debian/Ubuntu)
- 认证日志:/var/log/secure(RHEL/CentOS),/var/log/auth.log(Debian/Ubuntu)
- 启动日志:/var/log/boot.log
- 内核日志:dmesg 输出或 /var/log/dmesg
- 多数日志文件需要 sudo 才能读取;不同发行版与配置可能略有差异,必要时先确认文件是否存在与权限设置。
二 journalctl 高效用法
- 实时查看全部日志:journalctl -f
- 查看最近 N 条:journalctl -n 50
- 按服务查看:journalctl -u sshd(将 sshd 替换为你的服务名)
- 按时间范围:journalctl --since “2025-11-22 09:00:00” --until “2025-11-22 18:00:00”
- 按启动查看:journalctl -b(当前启动),或 journalctl -b -1(上一次启动)
- 按优先级过滤:journalctl -p 3(仅错误级别,数值越小级别越高)
- 在服务日志中搜索关键词:journalctl -u nginx | grep error
- 提示:多数发行版默认持久化 journal,若未持久化,仅能看到当前引导的日志。
三 传统日志文件与 dmesg 速查
- 实时跟踪系统日志:
- RHEL/CentOS:sudo tail -f /var/log/messages
- Debian/Ubuntu:sudo tail -f /var/log/syslog
- 认证与安全事件:
- RHEL/CentOS:sudo less /var/log/secure
- Debian/Ubuntu:sudo less /var/log/auth.log
- 启动过程:sudo less /var/log/boot.log
- 内核与驱动:
- 查看内核环缓冲区:dmesg
- 可读时间戳:dmesg -T
- 过滤错误:dmesg | grep -i error
- 内核日志文件:/var/log/dmesg(部分系统会保存 dmesg 输出)
四 组合技巧与故障排查范式
- SSH 登录异常:
- RHEL/CentOS:sudo journalctl -u sshd -f | grep -i fail
- Debian/Ubuntu:sudo tail -f /var/log/auth.log | grep -i fail
- 服务无法启动:
- 查看单元日志与最近错误:journalctl -u your.service -b --no-pager -e
- 硬件/驱动问题:
- 结合时间与级别:dmesg -T | grep -i -A5 -B5 “error|fail”
- 大文件检索:
- 先定位时间段再过滤:sudo journalctl --since “2025-11-22 10:00” | grep “timeout”
- 分页与搜索:
- 日志文件用 less 浏览,配合 /关键词 搜索,按 n/N 跳转;实时跟踪用 tail -f。
