一、tail命令实时查看日志
tail命令可以查看文件的末尾内容。如果加上-f参数,则可以实时查看文件的变化。例如:
tail -f /var/log/syslog
这条命令会实时显示/var/log/syslog的内容变化。可以利用这个命令来查看正在运行的程序的日志,例如,查看nginx的错误日志:
tail -f /var/log/nginx/error.log
另外,可以使用grep过滤想要查看的内容,例如:
tail -f /var/log/nginx/access.log | grep "192.168.1.1"
这样就可以实时查看所有访问192.168.1.1的请求。
二、使用watch命令监控日志
watch命令可以定时执行一个命令,并实时显示输出。这个命令在监控系统状态、监控日志变化等方面非常有用。例如,可以使用watch监控系统当前的网络连接情况:
watch -n1 "netstat -an | grep ESTABLISHED | wc -l"
上面的命令每秒钟执行一次netstat命令,并显示当前系统中已建立连接的数量。
同样的,也可以使用watch来监控日志变化。例如:
watch -n1 "cat /var/log/nginx/access.log | tail -n 10"
这条命令每秒钟执行一次cat命令,显示nginx的访问日志的最后10行。
三、使用inotify-tools监控目录变化
inotify-tools是一个Linux下的工具集,可以监控目录变化,并执行一些自定义动作。
例如,可以使用inotifywait命令来监控/var/log目录下的所有文件变化:
inotifywait -m /var/log
这个命令会实时显示/var/log目录下的所有文件的变化。可以利用这个命令实现自定义的文件监控脚本。
四、使用logrotate定时切割日志
日志文件会随着时间的推移越来越大,为了方便管理和减少存储空间的占用,需要定时切割日志。这个任务可以通过logrotate来实现。
可以通过编写logrotate配置文件来指定需要切割的日志文件和切割的方式。例如,以下是一个nginx的logrotate配置文件:
/var/log/nginx/*.log {
daily
missingok
rotate 52
compress
delaycompress
notifempty
create 640 nginx adm
sharedscripts
postrotate
/usr/sbin/nginx -s reopen
endscript
}
上面的配置文件指定了每天切割一次nginx的日志文件,保留52个旧日志文件。同时会进行压缩,并在切割后重启nginx服务。
五、使用ELK实现日志集中存储和分析
ELK是Elasticsearch、Logstash和Kibana三个工具的组合。Elasticsearch是一个开源的分布式搜索引擎,可以存储大量的结构化和非结构化数据;Logstash是一款用来处理日志、指标等数据的工具,可以将数据从不同的来源搜集过来,并转化为可查询的结构;Kibana是一个基于Elasticsearch的开源分析和可视化平台,可以展示通过Logstash搜集过来的数据。
使用ELK可以实现日志的集中存储和分析。例如,可以搜集所有服务器的日志到Elasticsearch中,然后通过Kibana进行可视化展示和查询。这样可以方便快捷地了解系统中出现的问题。
可参考以下代码来搭建ELK环境:
# 安装Elasticsearch
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.4.0-linux-x86_64.tar.gz
tar -xzf elasticsearch-7.4.0-linux-x86_64.tar.gz
cd elasticsearch-7.4.0/bin
./elasticsearch
# 安装Logstash
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.4.0.tar.gz
tar -xzf logstash-7.4.0.tar.gz
cd logstash-7.4.0/bin
./logstash -e 'input { stdin { } } output { elasticsearch { hosts => ["localhost:9200"] } }'
# 安装Kibana
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.4.0-linux-x86_64.tar.gz
tar -xzf kibana-7.4.0-linux-x86_64.tar.gz
cd kibana-7.4.0/bin
./kibana
然后可以通过访问http://localhost:5601来打开Kibana的Web界面,进行数据的查询和可视化展示。
六、使用rsyslog收集日志
rsyslog是一个高性能的日志系统,可以将日志收集到远程服务器中,并支持远程日志的过滤、处理和转发。
可以通过修改/etc/rsyslog.conf配置文件来指定日志的收集方式。例如,以下配置可以将nginx的访问日志发送到远程服务器上:
module(load="imfile") input(type="imfile" File="/var/log/nginx/access.log" Tag="nginx" Facility="local6") local6.* @@remote_server:514
上面的配置使用imfile模块来监控/var/log/nginx/access.log文件,并使用local6作为Facility。然后将local6的日志转发到远程服务器的514端口。
总结
本文介绍了6种实时查看日志变化的方法。从监控程序日志、监控系统状态、监控目录变化、定时切割日志、日志集中存储和分析、远程日志收集等方面进行了详细的讲解。不同的方法适用于不同的场景,选取合适的方法可以提高工作效率和问题的处理速度。
