Linux查看日志的命令有多种: tail、cat、tac、head、echo等，本文只介绍几种常用的方法。
1、tail这个是我最常用的一种查看方式
命令格式: tail[必要参数][选择参数][文件]-f 循环读取-q 不显示处理信息-v 显示详细的处理信息-c<数目> 显示的字节数-n<行数> 显示行数-q, --quiet, --silent 从不输出给出文件名的首部-s, --sleep-interval=S 与-f合用,表示在每次反复的间隔休眠S秒复制用法如下：
tail -n 10 test.log 查询日志尾部最后10行的日志;tail -n +10 test.log 查询10行之后的所有日志;tail -fn 10 test.log 循环实时查看最后1000行记录(最常用的)复制一般还会配合着grep用，例如 :
tail -fn 1000 test.log
grep '关键字'复制如果一次性查询的数据量太大,可以进行翻页查看，例如:
tail -n 4700 aa.log
more -1000 可以进行多屏显示(ctrl + f 或者 空格键可以快捷键)复制2、head跟tail是相反的head是看前多少行日志
head -n 10 test.log 查询日志文件中的头10行日志;head -n -10 test.log 查询日志文件除了最后10行的其他所有日志;复制head其他参数参考tail
3、catcat 是由第一行到最后一行连续显示在屏幕上
一次显示整个文件 :
$ cat filename复制从键盘创建一个文件 :
$cat > filename复制将几个文件合并为一个文件：
$cat file1 file2 > file 只能创建新文件,不能编辑已有文件.复制将一个日志文件的内容追加到另外一个 :
$cat -n textfile1 > textfile2复制清空一个日志文件:
$cat : >textfile2复制注意：> 意思是创建，>>是追加。千万不要弄混了。
cat其他参数参考tail
4、moremore命令是一个基于vi编辑器文本过滤器，它以全屏幕的方式按页显示文本文件的内容，支持vi中的关键字定位操作。more名单中内置了若干快捷键，常用的有H（获得帮助信息），Enter（向下翻滚一行），空格（向下滚动一屏），Q（退出命令）。more命令从前向后读取文件，因此在启动时就加载整个文件。
该命令一次显示一屏文本，满屏后停下来，并且在屏幕的底部出现一个提示信息，给出至今己显示的该文件的百分比：–More–（XX%）
more的语法：more 文件名
Enter 向下n行，需要定义，默认为1行
Ctrl f 向下滚动一屏
空格键 向下滚动一屏
Ctrl b 返回上一屏
= 输出当前行的行号
:f 输出文件名和当前行的行号
v 调用vi编辑器
!命令 调用Shell，并执行命令
q退出more
5、sed这个命令可以查找日志文件特定的一段 , 根据时间的一个范围查询，可以按照行号和时间范围查询
按照行号
sed -n '5,10p' filename 这样你就可以只查看文件的第5行到第10行。复制按照时间段
sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' test.log复制6、lessless命令在查询日志时，一般流程是这样的
less log.log
shift + G 命令到文件尾部 然后输入 ？加上你要搜索的关键字例如 ？1213
按 n 向上查找关键字
shift+n 反向查找关键字复制less与more类似，使用less可以随意浏览文件，而more仅能向前移动，不能向后移动，而且 less 在查看之前不会加载整个文件。less log2013.log 查看文件ps -ef
less ps查看进程信息并通过less分页显示history
less 查看命令历史使用记录并通过less分页显示less log2013.log log2014.log 浏览多个文件复制常用命令参数：
less与more类似，使用less可以随意浏览文件，而more仅能向前移动，不能向后移动，而且 less 在查看之前不会加载整个文件。less log2013.log 查看文件ps -ef
less ps查看进程信息并通过less分页显示history
less 查看命令历史使用记录并通过less分页显示less log2013.log log2014.log 浏览多个文件常用命令参数：-b <缓冲区大小> 设置缓冲区的大小-g 只标志最后搜索的关键词-i 忽略搜索时的大小写-m 显示类似more命令的百分比-N 显示每行的行号-o <文件名> 将less 输出的内容在指定文件中保存起来-Q 不使用警告音-s 显示连续空行为一行/字符串：向下搜索"字符串"的功能?字符串：向上搜索"字符串"的功能n：重复前一个搜索（与 / 或 ? 有关）N：反向重复前一个搜索（与 / 或 ? 有关）b 向后翻一页h 显示帮助界面q 退出less 命令复制一般本人查日志配合应用的其他命令history // 所有的历史记录
history
grep XXX // 历史记录中包含某些指令的记录
history
more // 分页查看记录
history -c // 清空所有的历史记录
!! 重复执行上一个命令
查询出来记录后选中 :　!323复制linux日志文件说明/var/log/message 系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一/var/log/secure 与安全相关的日志信息/var/log/maillog 与邮件相关的日志信息/var/log/cron 与定时任务相关的日志信息/var/log/spooler 与UUCP和news设备相关的日志信息/var/log/boot.log 守护进程启动和停止相关的日志消息/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件
}

最近我从cnaaa.com购买了云服务器。
我们大家应该都知道如何在 Linux 中查看文件，比如可以使用 cat 或者 less 命令。
这对于查看静态文件来说是可以的。日志文件是动态的，其内容随时会变化，要监测日志文件，需要在日志文件内容改变时也能实时看到。
那么如何实时查看日志文件呢？tail 命令是可以的，除此以外，还有其他的一些工具，本文将会介绍这些可以实时查看日志文件的工具。
1. 使用 tail 命令查看日志文件
tail 命令使用非常广泛，因此系统管理员经常使用口头禅 tail the log file（即：tail 日志文件）。
大多数情况下，tail 命令用于查看文件末尾的内容，因此才会被命名为 tail。
使用 -f 选项可以跟踪文件末尾的内容，这表示它会持续显示被新添加到文件中的内容。
tail -f location_of_log_file
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nzCWCjye-1664183028850)(D:/img/640.png)]
要停止跟踪日志文件，可以使用 ctrl +c 快捷键。
tail 和 grep
如上所述，tail 命令可以实时查看文件内容的变化。但是，当文件内容更新特别快速的时候，刚刚更新的内容一闪而过，这种情况下，查看起来就不那么方便了。
比如，我们在跟踪日志文件的时候，经常会监视某个特定的术语（字符串），在快速更新的大量内容中跟踪，非常不方便。
为了解决这个问题，我们可以将 tail 和
grep 命令结合起来使用。如下所示：
tail -f log_file
grep search_term
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LxXIylsU-1664183028854)(D:/img/640-1664179747239-1.png)]
这样看起来就好多了，对吧？在这个基础上，我们再来做一下改进。
使用 grep 展示搜索词，显示的信息比较有限，它只显示检索结果，因此我们经常使用 -C 选项来显示检索结果的前后几行：
tail -f log_file
grep -C 3 search_term
这样，我们就能看到检索结果相关的前后几行信息，可以更好的跟踪日志信息。
还想再改进一些吗？可以对多个搜索项使用 grep，然后不区分大小写：
tail -f log_file
grep -C 3 -i - E 'search_term_1|search_term_2'
使用日志轮转（log rotation）跟踪日志
大多数企业服务器，日志都会轮转（rotation），即当日志文件达到一定大小后，就会重命名并压缩。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h2RUcofL-1664183028856)(D:/img/640-1664179747241-2.png)]
如果实时跟踪日志文件，则会产生问题。默认情况下，tail 命令用于文件描述符。如果当前日志文件被旋转，tail 命令现在将指向一个存档日志文件，该文件现在不会记录任何更改。
解决方案是按照日志文件的名称跟踪日志文件。这样，即使发生日志旋转，尾部也将指向当前日志文件（因为其名称从未更改）。
tail --follow=name log_file
grep -C 3 -i - E 'search_term_1|search_term_2'
tail 非常适合实时监控日志文件，但上述方法只监控一个日志文件。如果要监控多个日志文件该怎么办呢？请看下一节。
使用 tail 查看多个日志文件
在 Linux 系统中工作，可以使用 tail 命令同时监视多个日志文件，只需要提供文件的路径：
tail -f log_file_1 -f log_file_2
上述命令，你将会实时看到日志文件的更新，并且在前面会带有文件名，以区分不同的日志文件：
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CMiWKszs-1664183028859)(D:/img/640-1664179747242-3.png)]
除了上述方法，还有另外一种更方便的方式，就是使用一个名为 multitail 的工具。
2. 使用 multitail 同时监视多个日志文件
顾名思义，multitail 用于同时显示多个文件。
既然 tail 可以同时监视多个文件，那么 multitail 有什么特别的地方呢？
multitail 的优点在于，它可以在拆分视图中显示文件，甚至可以在不同的行和列中显示不同的文件。
tail 在同一视图中显示所有内容，所以有时候很难跟踪，multitail 通过提供类似 screen 命令的分割视图来克服了这一困难。
注意，multitail 在大多数Linux系统中没有被默认安装，所以在使用前需要先手动安装。
在 multitail 命令后跟文件路径，最好一次不要超过3个，因为超过3个或以上，跟踪起来就比较困难了。
multitail log_file_1 log_file_2
默认情况下，multitail 的工作方式与 tail -f 相同，它显示最后100行，然后进入实时监视视图；另外，它按行来拆分视图。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EZ9iX4d3-1664183028861)(D:/img/640-1664179747242-4.png)]
你可以按 b 键打开一个文件选择窗口，选择某个日志文件查看，以做进一步分析。
分割视图使用 -s 选项，后面跟一个数字，即视图的数量：
multitail -s 2 log_file_1 log_file_2
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ETQjV0KA-1664183028863)(D:/img/640-1664179747243-5.png)]
按 q 键可退出 multitail 所有的视图。
multitail 可以做的还有很多，大家感兴趣可以查看一下它的官方文档，本文就不继续介绍了。
3. 使用 less 命令实时查看日志文件
less 命令多用于读取文本文件，也可用于读取实时被更改的文件。
选项 +F 可以实时跟踪文件的更改：
less +F log_file
上述命令会打开日志文件，并实时显示正在写入的更改：
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oDZivgss-1664183028865)(D:/img/640-1664179747243-6.png)]
按 ctrl +c 中断显示，按 q 会退出视图。
与 tail 命令不同，此方法可以让我们快速查看日志的更改，而不会使屏幕混乱。
上述监视日志的方法适用于传统的基于文本的日志文件。对于系统日志，可以使用 syslogs，但是现在许多 Linux 发行版已经开始使用 journal 日志来查看和分析日志，所以需要使用 journalctl 命令。
}

Linux系统技术交流QQ群（2636170）验证问题答案：刘遄
作为一名系统管理员，你是否曾经遇到过这样的情况：突然发现服务器出现了问题，但却无从下手找到根本原因。这时候，Linux日志系统就能够为你提供重要的帮助。
Linux日志系统是一个非常强大的工具，可以帮助你追踪服务器上发生的各种事件linux服务器维护，包括登录、应用程序运行、系统崩溃等。它不仅可以记录所有事件linux日志系统，还可以将这些事件归类并存储在一个或多个文件中，以便后续分析。
在Linux中，主要有两种类型的日志：内核日志和应用程序日志。内核日志由内核管理并记录linux通配符，而应用程序日志则由每个应用程序自己管理并记录。对于系统管理员来说，最重要的是应用程序日志。
在Linux中，应用程序通常使用syslogd服务来记录日志。syslogd服务会将所有应用程序生成的日志消息发送到一个文件中，并根据消息类型进行分类。这些消息类型包括DEBUG、INFO、WARNING和ERROR等级。
除了syslogd服务之外，还有一些其他的工具可以帮助你分析和管理日志文件。例如：
1. logrotate：它可以轻松地管理和压缩多个日志文件，并通过cron任务自动运行。
2. grep：它可以搜索指定关键字或模式，并输出匹配结果。
3. tail：它可以实时监控指定文件的变化，并输出新增内容。
4. awk：它可以解析文本数据，并输出指定字段或行。
当然，在使用这些工具之前，你需要知道如何查找和分析日志文件。以下是一些基本命令：
1. cat：它可以查看整个文件内容。
2. less：它可以逐页查看大型文件内容linux日志系统，并支持搜索和滚动浏览。
3. head/tail：它们分别显示文件头部和尾部内容。
4. grep：如上所述，可用于搜索指定关键字或模式。
5. awk/sed：如上所述，可用于解析文本数据，并输出指定字段或行。
最后，在使用Linux日志系统时，请注意以下几点：
1.及时记录重要事件；
2.定期备份和压缩日志文件；
3.使用合适的工具来管理和分析日志文件；
4.根据需要调整syslogd服务配置；
5.保护好敏感信息（例如密码）不被记录在明文日志中。
总之，在Linux环境下，使用好日志系统将会是你成为一名优秀系统管理员必不可少的技能之一！
本文原创地址：https://www.linuxprobe.com/zwlrzxtglyrh.html编辑：刘遄，审核员：暂无
}