linux日志分析需聚焦时间、服务、异常与上下文,优先检查/var/log/messages、auth.log、dmesg等关键路径,善用journalctl和grep精准过滤,避免盲目cat全文,并警惕忽略WARN、时区不一致及脱离上下文三大误区。
Linux日志分析不是“翻文件”,而是有逻辑、有重点的排查动作。新手常花大量时间盲目刷屏,结果漏掉关键线索。核心在于:盯住时间、定位服务、过滤异常、验证上下文。
盯住几个关键日志位置
别从头翻起,先看这几个最常出问题的路径:
- /var/log/messages 或 /var/log/syslog:系统级事件汇总,比如服务崩溃、网络中断、IO错误,适合快速定位大范围异常
- /var/log/auth.log(debian/ubuntu)或 /var/log/secure(RHEL/centos):所有登录、sudo、ssh行为都在这,暴力破解、误操作、权限失败一眼可见
- /var/log/dmesg 和 /var/log/kern.log:硬件和内核层问题,如磁盘坏道、驱动加载失败、内存报错,用
dmesg -T查带时间戳的启动后内核消息 - /var/log/cron.log:定时任务是否执行、有没有被静默跳过、脚本退出码是否为0,比看 crontab 更真实
别用“cat 全文”查问题
手动滚动日志效率极低,也容易忽略时间顺序。正确做法是组合命令精准提取:
- 查最近10分钟的错误:
journalctl --since "10 minutes ago" | grep -i "Error|fail|denied" - 找某用户反复失败登录:
grep "Failed password for" /var/log/auth.log | grep "username" | tail -20 - 统计各IP的SSH尝试次数:
awk '/Failed password/ {print $11}' /var/log/auth.log | sort | uniq -c | sort -nr | head -10
注意:journalctl 是 systemd 系统的首选,比直接读文件更可靠,尤其当 rsyslog 没运行时它仍能回溯。
新手最容易踩的三个坑
这些误区看似小,但会拖慢排障50%以上时间:
- 只看 ERROR,忽略 WARN 和 repeated 消息:比如 “connection refused” 出现几十次后才报 ERROR,其实第1次就该干预;重复出现的 warning 往往是资源瓶颈前兆
- 不校验时间戳时区:服务器用 UTC、你本地用 CST,看到“凌晨2点出错”可能其实是你下班后的时段;用
date和timedatectl status确认系统时区一致性 - 查到报错就动手改,不看前后几行:例如看到 “Permission denied”,往前翻两行可能发现是 SELinux 拒绝、往后翻三行可能显示进程已 fallback 到降级模式——上下文决定处理方式
让日志真正帮你省时间
日常加两步,故障时少折腾:
- 给常用服务加简单监控:比如用
tail -f /var/log/nginx/error.log | grep -i "502|504"实时盯反向代理异常 - 定期检查 logrotate 是否生效:
logrotate -d /etc/logrotate.conf(-d 是 debug 模式),避免某天突然发现 /var/log/messages 占了80G - 敏感日志设权限:
chmod 600 /var/log/auth.log,防止普通用户读取他人登录痕迹
基本上就这些。不复杂,但容易忽略。