Linux日志分析通用流程为:定位目标日志→快速查看内容→精准筛选线索→关联上下文→判断根因;需按问题类型选择对应日志文件,结合tail、grep、journalctl等命令高效排查。
Linux日志分析没有万能模板,但有一套通用、可复用的标准流程:定位目标日志 → 快速查看内容 → 精准筛选线索 → 关联上下文 → 判断根因。掌握这个主线,无论排查服务启动失败、SSH爆破、应用崩溃还是性能异常,都能有条不紊推进。
明确要查什么日志
先别急着翻文件,根据问题类型锁定日志范围:
- 系统级异常(如开机卡住、内核告警)→ 查 /var/log/messages(RHEL/CentOS)或 /var/log/syslog(Ubuntu/Debian)
- 登录失败、sudo被拒、暴力破解 → 查 /var/log/secure(RHEL系)或 /var/log/auth.log(Debian系)
- 服务起不来(如nginx、sshd)→ 先看对应服务的 journal 日志:journalctl -u nginx.service -n 50
- 硬件/驱动问题(如磁盘报错、USB识别异常)→ 查 /var/log/kern.log 或运行 dmesg -T
- 桌面应用崩溃(如UOS影院、向日葵)→ 查用户缓存目录:~/.cache/deepin/deepin-movie/deepin-movie.log 或 /var/log/sunlogin/sunlogin_service.log
用对命令快速“摸清底细”
不用通读全文,三步看清关键信息:
-
tail -n 30 /var/log/secure:看最近3
0行,找最新发生的异常(如Failed password)
-
tail -f /var/log/nginx/error.log:实时观察错误是否持续产生(适合复现问题时盯屏)
-
less +G /var/log/messages:打开即跳到末尾,支持向上翻页、按 /关键字 搜索(如 /OOM)、按 n 继续查找
精准过滤出真正有用的线索
海量日志里藏信息,靠关键词+逻辑组合提纯:
- 查失败登录并提取IP:grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
- 查某天某时段的日志:awk '$0 ~ /Dec 13.*08:|Dec 13.*09:/' /var/log/messages(匹配12月13日早8–9点)
- 查错误但排除干扰项:grep -i "error\|fail\|denied" /var/log/auth.log | grep -v "pam_unix"(去掉常规认证提示)
- 查带时间戳的上下文:grep -C 3 "segmentation fault" /var/log/syslog(显示匹配行前后3行,看清前因后果)
结合时间、进程、主机交叉验证
单条日志容易误判,必须拉出“证据链”:
- 看到 sshd[12345]: Failed password for root,立刻查同一时间点的 journalctl --since "2025-12-13 20:30:00" -n 20,确认sshd是否重启过
- 发现 Out of memory: Kill process,马上执行 free -h && df -h,验证内存和磁盘是否真不足
- 应用日志报“Connection refused”,不能只看应用侧,同步查 netstat -tuln | grep :端口号 和 systemctl status 服务名
基本上就这些。流程不复杂,但容易忽略上下文关联和多源印证。坚持从问题出发选日志、用命令抓重点、靠组合过滤去噪音、拿其他指标做交叉,多数故障半小时内就能定性。
0行,找最新发生的异常(如Failed password)