在 Linux 系统中，日志文件通常存储在 /var/log 目录下。比如，/var/log/syslog（或 /var/log/messages，视发行版而定）记录系统整体事件，/var/log/auth.log 记录认证相关信息，/var/log/apache2/access.log 则是 Web 服务器的访问日志。这些文件大多是纯文本格式，方便我们用命令行工具直接操作。

但日志文件有个特点：它们往往是动态的，内容会随着系统运行不断追加。而且，有些日志会被压缩成 .gz 文件（比如 /var/log/syslog.1.gz），有些甚至被分割成多个文件（如 kern.log.1、kern.log.2）。这就要求我们在读取时，既要能处理实时数据，也要能挖掘历史记录。

基础利器：cat、less 和 more

1.cat

简单粗暴的全文输出

如果你只是想快速瞥一眼日志文件的内容，cat 是最直接的选择。敲下 cat /var/log/syslog，整个文件的内容就会一股脑儿地输出到终端。不过，当日志文件很大时，屏幕会被刷得眼花缭乱，完全看不过来。

• 小技巧：可以用 cat /var/log/syslog | head -n 50 只看前 50 行，或者 cat /var/log/syslog | tail -n 50 查看最后 50 行。

• 进阶玩法：cat /var/log/syslog | grep "error" 可以快速过滤出包含 "error" 的行，适合初步排查问题。

说明我服务器上暂时没有错误的日志，哈哈。

2.less

翻页浏览的优雅选择

当日志文件太长时，less /var/log/syslog 是更好的工具。它允许你上下滚动查看内容，按 q 退出。

• 实用快捷键：/keyword：搜索关键词（比如 /error），按 n 跳到下一个匹配项。g：跳到文件开头，G：跳到文件末尾。Ctrl+F：向前翻页，Ctrl+B：向后翻页。
• 实时监控：如果你想边看边刷新最新内容，可以用 less +F /var/log/syslog，相当于 tail -f 的效果，按 Ctrl+C 回到普通模式。

3.more

老派但可靠

more /var/log/syslog 和 less 类似，但功能更简单，只能向下翻页，无法回滚。按空格翻页，q 退出。虽然不如 less 灵活，但在资源紧张的老系统上，它依然是个轻量选择。

实时追踪神器：tail

日志的魅力在于它的动态性，而 tail 正是捕捉这种动态的最佳工具。

• tail -f：实时监控
  执行 tail -f /var/log/syslog，你会看到日志的最后几行，并且新写入的内容会实时追加到屏幕上。这在排查实时问题（比如服务启动失败）时非常有用。变种：tail -n 100 -f /var/log/syslog 可以先显示最后 100 行，再开始实时追踪。
• tail + grep 的组合拳
  比如，tail -f /var/log/auth.log | grep "sshd" 可以实时监控 SSH 登录相关的日志，帮你迅速发现异常登录尝试。

历史挖掘专家：head 和 grep

1.head

快速瞄准开头

日志文件的前几行往往包含系统启动时的信息，用 head -n 20 /var/log/syslog 可以快速查看开头的 20 行。如果想结合其他工具，比如 head -n 50 /var/log/syslog | grep "kernel"，就能聚焦内核相关的启动日志。

2.grep：精准过滤的利刃

grep 是日志分析的灵魂。假设你在 /var/log/apache2/access.log 中找某个 IP 的访问记录：

• grep "192.168.1.1" /var/log/apache2/access.log
• 高级用法：-i：忽略大小写，如 grep -i "error" /var/log/syslog。-r：递归搜索目录下所有文件，比如 grep -r "timeout" /var/log/。-A 5：显示匹配行后 5 行，-B 5：显示前 5 行，-C 5：前后各 5 行，方便查看上下文。--color：高亮匹配内容，视觉效果更佳。
• 实战案例：查找最近的错误日志，tail -n 1000 /var/log/syslog | grep -A 10 "error"，既能看到错误行，又能了解后续影响。

处理压缩日志：zcat、zless 和 zgrep

老日志通常会被压缩成 .gz 格式，直接用 cat 或 less 是打不开的。这时，zcat、zless 和 zgrep 登场。

• zcat：解压并输出
  zcat /var/log/syslog.1.gz 会直接将压缩文件内容输出到终端，效果类似 cat。
• zless：翻页查看压缩文件
  zless /var/log/syslog.1.gz 让你像用 less 一样浏览压缩日志。
• zgrep：搜索压缩日志
  zgrep "error" /var/log/syslog.1.gz 可以直接在压缩文件中搜索关键词，省去手动解压的麻烦。

小贴士：如果需要解压后操作，可以用 gunzip /var/log/syslog.1.gz，但注意备份原文件，避免覆盖。

日志切割与合并：awk 和 sed

日志文件有时需要更精细的处理，比如提取特定字段或清洗数据。这时，awk 和 sed 是你的得力助手。

1.awk

字段提取大师

假设 /var/log/apache2/access.log 的格式是 IP - - [时间] "请求" 状态码 字节数，你想提取所有状态码为 404 的请求：

• awk '$9 == 404' /var/log/apache2/access.log（$9 是第 9 个字段，通常是状态码）。
• 再进一步，提取 IP 和请求：awk '$9 == 404 {print $1, $7}' /var/log/apache2/access.log。

2.sed

文本替换与清洗

如果日志中有大量冗余信息，比如时间戳前的无关前缀，可以用 sed 清理：

• sed 's/^[A-Za-z]\{3\} [0-9]\{2\} [0-9]\{2\}:[0-9]\{2\}:[0-9]\{2\} //' 删除 syslog 中常见的时间戳。
• 结合管道：cat /var/log/syslog | sed '/error/d' 删除所有含 "error" 的行。

高级玩法：journalctl 和 logrotate

1.journalctl

systemd 日志的瑞士军刀

现代 Linux 系统大多用 systemd 管理日志，日志不再只存于文件，而是由 journald 收集。

• 查看所有日志：journalctl。

• 按服务过滤：journalctl -u sshd 查看 SSH 服务日志。

• 按时间段：journalctl --since "2025-03-09 10:00" --until "2025-03-09 12:00"。

• 实时监控：journalctl -f，类似 tail -f。

• 按优先级：journalctl -p 3 只看错误级别（0=紧急，7=调试）。

2.logrotate

管理日志文件

虽然不是直接读取工具，但 logrotate 能帮你管理日志，避免文件过大。配置文件在 /etc/logrotate.conf 或 /etc/logrotate.d/，可以设置日志轮转周期和压缩策略。