linux 日志监控

在Linux系统中，日志文件是系统运行状态的重要记录，通过分析这些日志，我们可以了解系统的运行状况，发现和解决系统问题，本文将介绍如何使用Linux命令行工具进行系统日志分析和监控。

查看系统日志

1、查看系统日志文件

在Linux系统中，常见的日志文件有/var/log/messages、/var/log/auth.log、/var/log/syslog等，我们可以通过以下命令查看这些日志文件的内容：

cat /var/log/messages
cat /var/log/auth.log
cat /var/log/syslog

2、使用tail命令实时查看日志

有时候我们需要实时查看日志文件的变化，可以使用tail命令，实时查看/var/log/messages文件的最后10行内容：

tail n 10 /var/log/messages

3、使用grep命令过滤日志

grep命令可以帮助我们快速定位到日志中的关键字，查找包含"error"关键字的日志行：

grep "error" /var/log/messages

分析系统日志

1、使用awk命令分析日志

awk是一种文本处理工具，可以帮助我们对日志进行更复杂的分析，统计/var/log/messages文件中包含"error"关键字的行数：

awk '{count += gsub(/<error>/, "")} END {print count}' /var/log/messages

2、使用sort和uniq命令分析日志

sort和uniq命令可以帮助我们对日志进行排序和去重操作，对/var/log/messages文件进行排序并去重：

sort /var/log/messages | uniq c

系统日志监控

1、使用cron定时任务定期检查日志

我们可以使用cron定时任务来定期检查系统日志，以便及时发现问题，每天凌晨1点检查一次/var/log/messages文件：

0 1 * * * cat /var/log/messages > /tmp/messages.log && mail s "Daily log check" user@example.com < /tmp/messages.log

2、使用logrotate工具自动轮换日志

logrotate是一个用于管理日志文件的工具，可以自动轮换、压缩和删除旧的日志文件，设置每周轮换一次/var/log/messages文件：

vi /etc/logrotate.d/messages

在配置文件中添加以下内容：

/var/log/messages {
    weekly # 每周轮换一次
    rotate 4 # 保留4个备份文件
    compress # 压缩备份文件
    missingok # 如果日志文件不存在，不报错继续执行后续任务
    notifempty # 如果日志文件为空，不进行轮换操作
}

相关命令与技巧

1、查看进程日志：可以使用ps、top等命令查看进程信息，结合grep命令查看特定进程的日志，查看名为"nginx"的进程日志：

ps ef | grep nginx | grep v grep | tail n +2 | awk '{print $2}' | xargs I {} tail f /var/log/nginx/*{}*.log & disown %1 # 将结果输出到后台并分离进程，避免占用当前终端窗口资源。

2、实时监控系统资源使用情况：可以使用vmstat、iostat、netstat等命令实时监控系统资源使用情况，每隔5秒刷新一次系统资源使用情况：

watch n 5 vmstat 1 2 3 4 5 6 7 8 9 10 # 显示虚拟内存、进程、CPU活动等信息；watch n 5 iostat # 显示磁盘I/O统计信息；watch n 5 netstat # 显示网络连接和路由表信息。

3、使用journalctl命令查看系统日志：journalctl是systemd提供的日志管理工具，可以查看系统启动以来的所有日志，查看最近10条系统日志：

journalctl n 10 nopager # nopager参数表示不分页显示，直接输出到终端。

4、使用dmesg命令查看内核消息：dmesg命令可以查看内核生成的消息，包括硬件检测、驱动程序加载等，查看内核消息：

dmesg # dmesg会输出大量信息，可以使用grep命令过滤关键字，查找包含"USB"关键字的内核消息：dmesg | grep USB，注意：dmesg输出的信息可能会因为内核重启而丢失，如果需要保存内核消息，可以使用journalctl命令。