linux日志分析关键在问题导向:查服务启动失败看systemctl状态和journalctl日志,排查CPU飙升用top+ps+lsof,分析Web异常用grep/awk过滤nginx日志,安全审计盯auth.log中的失败登录、异常时段成功登录和sudo提权行为。
Linux日志分析不靠死记命令,关键在定位问题场景+匹配典型模式+快速验证假设。下面按你最常遇到的几类情况,直接给思路、命令和判断依据,跳过理论,上手就用。
查服务启动失败(比如nginx、mysql起不来)
重点看服务自身的日志 + systemd状态 + 最近10行错误线索:
- 先看 systemd 报错:
systemctl status nginx—— 注意“Active: failed”后面那句提示,常直接告诉你缺配置、端口被占或权限不对 - 再追日志:
journalctl -u nginx.service -n 20 -e(-n 20取最后20行,-e 跳到底部) - 常见信号:
bind() to 0.0.0.0:80 failed (98: Address already in use)→ 端口冲突;open() "/etc/nginx/nginx.conf" failed (13: Permission denied)→ SELinux 或文件权限问题
排查服务器变慢或CPU飙升
别一上来就翻/var/log/messages,先锁定“谁在作怪”:
- 实时看进程:
top或htop(按 CPU% 排序),记下可疑 PID - 查这个进程干了啥:
ps -fp PID看完整命令;lsof -p PID看它打开了哪些文件/网络连接 - 顺藤摸瓜查日志:
grep PID /var/log/syslog或journalctl _PID=PID -n 15,看它是否频繁报错、重试、写大量日志
分析Web访问异常(404/502/超时)
Nginx/apache 日志是主战场,核心是“按需过滤+聚焦字段”:
- 快速筛出502错误:
grep ' 502 ' /var/log/nginx/access.log | tail -10 - 查某IP高频请求(防爬/攻击):
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -5 - 看慢请求(响应时间 > 2s):
awk '$(NF-1) > 2 {print}' /var/log/nginx/access.log | tail -5(Nginx默认日志中倒数第二列是 $request_time)
安全审计:有没有人非正常登录?
盯紧 /var/log/auth.log(debian/ubuntu)或 /var/log/secure(centos/RHEL):
- 失败登录:
grep "Failed password" /var/log/auth.log - 成功但可疑(非工作时间、非常用IP):
grep "Accepted password" /var/log/auth.log | grep -E "(02:|03:|04:)"(查凌晨2–4点) - 提权行为:
grep "sudo:" /var/log/auth.log,重点看命令是否异常(如 sudo rm -rf /、sudo su -)
基本上就这些。日志不是越全越好,而是问题导向、层层缩小范围、用最少命令验证最大可能。多练几次,看到报错第一反应就不是“懵”,而是“去哪找线索”。