Linux日志怎么分析_最佳实践总结助你快速突破【指导】-linux运维-PHP中文网

Linux日志怎么分析_最佳实践总结助你快速突破【指导】

舞夢輝影

发布： 2025-12-20 13:02:02

原创

214人浏览过

Linux日志分析需“定位快、判断准、验证稳”：先明确异常现象，再聚焦对应日志源（如kern.log/messages、服务专属日志、auth.log/secure、应用自定义日志），最后用sed/grep/awk等命令按时间、关键词、PID快速筛选并结合上下文与系统指标交叉验证。

linux日志怎么分析_最佳实践总结助你快速突破【指导】

Linux日志分析不是翻文件，而是带着问题找线索。核心是“定位快、判断准、验证稳”——先明确异常现象（比如服务突然不可用、CPU飙升、登录失败增多），再聚焦对应日志源，用基础命令快速过滤关键信息，最后结合上下文交叉验证。

不同问题对应不同日志位置，别一上来就翻 /var/log/messages：

系统级异常（启动失败、硬件告警、内核OOM）：优先看 /var/log/kern.log（Debian/Ubuntu）或 /var/log/messages（RHEL/CentOS），配合 dmesg -T 查实时内核环缓冲
服务启停与运行报错（Nginx挂了、MySQL连不上）：直接查服务专属日志，如 /var/log/nginx/error.log、/var/log/mariadb/mariadb.log；用 systemctl status 服务名 -l 看最近输出
用户行为与安全事件（暴力破解、提权操作）：重点扫 /var/log/auth.log（Debian系）或 /var/log/secure（RHEL系），关注 Failed password、sudo:、session opened/closed
应用自定义日志（Java、Python程序输出）：通常在 /opt/app/logs/ 或 /var/log/appname/ 下，注意日志级别（ERROR > WARN > INFO），先 grep ERROR 行

不用从头读，用组合命令直击要害：

小微助手

微信推出的一款专注于提升桌面效率的助手型AI工具

249

按时间切片：用 sed -n '/2024-04-15 14:20/,/2024-04-15 14:25/p' /var/log/syslog 提取故障窗口期日志
精准关键词过滤：比如查SSH爆破，执行 grep "Failed password" /var/log/auth.log | awk '{print $9}' | sort | uniq -c | sort -nr | head -10 统计攻击IP
关联进程与PID：发现某错误含 PID 12345，立刻用 ps -p 12345 -o pid,ppid,cmd,user 看谁在跑、属哪个用户、父进程是谁