您的位置:

linux实时查看日志变化的方法

一、tail命令实时查看日志

tail命令可以查看文件的末尾内容。如果加上-f参数,则可以实时查看文件的变化。例如:

tail -f /var/log/syslog

这条命令会实时显示/var/log/syslog的内容变化。可以利用这个命令来查看正在运行的程序的日志,例如,查看nginx的错误日志:

tail -f /var/log/nginx/error.log

另外,可以使用grep过滤想要查看的内容,例如:

tail -f /var/log/nginx/access.log | grep "192.168.1.1"

这样就可以实时查看所有访问192.168.1.1的请求。

二、使用watch命令监控日志

watch命令可以定时执行一个命令,并实时显示输出。这个命令在监控系统状态、监控日志变化等方面非常有用。例如,可以使用watch监控系统当前的网络连接情况:

watch -n1 "netstat -an | grep ESTABLISHED | wc -l"

上面的命令每秒钟执行一次netstat命令,并显示当前系统中已建立连接的数量。

同样的,也可以使用watch来监控日志变化。例如:

watch -n1 "cat /var/log/nginx/access.log | tail -n 10"

这条命令每秒钟执行一次cat命令,显示nginx的访问日志的最后10行。

三、使用inotify-tools监控目录变化

inotify-tools是一个Linux下的工具集,可以监控目录变化,并执行一些自定义动作。

例如,可以使用inotifywait命令来监控/var/log目录下的所有文件变化:

inotifywait -m /var/log

这个命令会实时显示/var/log目录下的所有文件的变化。可以利用这个命令实现自定义的文件监控脚本。

四、使用logrotate定时切割日志

日志文件会随着时间的推移越来越大,为了方便管理和减少存储空间的占用,需要定时切割日志。这个任务可以通过logrotate来实现。

可以通过编写logrotate配置文件来指定需要切割的日志文件和切割的方式。例如,以下是一个nginx的logrotate配置文件:

/var/log/nginx/*.log {
    daily
    missingok
    rotate 52
    compress
    delaycompress
    notifempty
    create 640 nginx adm
    sharedscripts
    postrotate
        /usr/sbin/nginx -s reopen
    endscript
}

上面的配置文件指定了每天切割一次nginx的日志文件,保留52个旧日志文件。同时会进行压缩,并在切割后重启nginx服务。

五、使用ELK实现日志集中存储和分析

ELK是Elasticsearch、Logstash和Kibana三个工具的组合。Elasticsearch是一个开源的分布式搜索引擎,可以存储大量的结构化和非结构化数据;Logstash是一款用来处理日志、指标等数据的工具,可以将数据从不同的来源搜集过来,并转化为可查询的结构;Kibana是一个基于Elasticsearch的开源分析和可视化平台,可以展示通过Logstash搜集过来的数据。

使用ELK可以实现日志的集中存储和分析。例如,可以搜集所有服务器的日志到Elasticsearch中,然后通过Kibana进行可视化展示和查询。这样可以方便快捷地了解系统中出现的问题。

可参考以下代码来搭建ELK环境:

# 安装Elasticsearch
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.4.0-linux-x86_64.tar.gz
tar -xzf elasticsearch-7.4.0-linux-x86_64.tar.gz
cd elasticsearch-7.4.0/bin
./elasticsearch

# 安装Logstash
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.4.0.tar.gz
tar -xzf logstash-7.4.0.tar.gz
cd logstash-7.4.0/bin
./logstash -e 'input { stdin { } } output { elasticsearch { hosts => ["localhost:9200"] } }'

# 安装Kibana
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.4.0-linux-x86_64.tar.gz
tar -xzf kibana-7.4.0-linux-x86_64.tar.gz
cd kibana-7.4.0/bin
./kibana

然后可以通过访问http://localhost:5601来打开Kibana的Web界面,进行数据的查询和可视化展示。

六、使用rsyslog收集日志

rsyslog是一个高性能的日志系统,可以将日志收集到远程服务器中,并支持远程日志的过滤、处理和转发。

可以通过修改/etc/rsyslog.conf配置文件来指定日志的收集方式。例如,以下配置可以将nginx的访问日志发送到远程服务器上:

module(load="imfile")

input(type="imfile"
      File="/var/log/nginx/access.log"
      Tag="nginx"
      Facility="local6")

local6.* @@remote_server:514

上面的配置使用imfile模块来监控/var/log/nginx/access.log文件,并使用local6作为Facility。然后将local6的日志转发到远程服务器的514端口。

总结

本文介绍了6种实时查看日志变化的方法。从监控程序日志、监控系统状态、监控目录变化、定时切割日志、日志集中存储和分析、远程日志收集等方面进行了详细的讲解。不同的方法适用于不同的场景,选取合适的方法可以提高工作效率和问题的处理速度。