CentOS消息日志怎樣查看與分析

一、查看方法

1. 命令行查看

   • journalctl（CentOS 7+首選）：
     • 查看所有系統日志：sudo journalctl
     • 實時監控：sudo journalctl -f
     • 按服務過濾：sudo journalctl -u nginx.service
     • 按時間范圍：sudo journalctl --since "2025-01-01" --until "2025-01-02"
     • 僅顯示錯誤日志：sudo journalctl -p err
   • 傳統日志文件：
     • 查看系統主日志：cat /var/log/messages 或 tail -f /var/log/messages
     • 查看安全日志：cat /var/log/secure 或 tail -f /var/log/secure

2. 圖形化工具

   • lnav：交互式日志查看器，支持高亮和多文件對比。
   • ELK Stack：用于大規模日志的集中分析可視化。

二、分析技巧

1. 關鍵詞過濾

   • 查找錯誤信息：grep "error" /var/log/messages
   • 忽略大小寫：grep -i "warning" /var/log/syslog
   • 統計出現次數：grep -c "failed" /var/log/auth.log

2. 時間范圍與排序

   • 按時間段篩選：awk -v start="2025-01-01 00:00" -v end="2025-01-01 23:59" '$0 > start && $0 < end' /var/log/messages
   • 按時間倒序：journalctl -r

3. 關聯分析與可視化

   • 結合多日志文件：journalctl -u nginx | grep "404" > nginx_errors.log
   • 使用ELK Stack生成圖表：通過Kibana展示訪問量、錯誤率趨勢。

三、工具推薦

• 輕量級分析：journalctl + grep/awk（快速定位問題）。
• 大規模監控：ELK Stack（適合企業級日志分析）。
• 實時告警：配置logwatch定期發送日志報告至郵箱。

注意：部分命令需sudo權限，日志文件路徑可能因系統配置不同調整，優先通過journalctl查看systemd管理的日志。