Linux 日志系统入门:/var/log 和 journalctl 怎么排查问题?
Linux 日志系统入门:/var/log 和 journalctl 怎么排查问题?
1. 前言
Linux 出问题时,日志是最重要的线索。
常见问题:
- 服务启动失败;
- SSH 登录失败;
- Nginx 返回 502/500;
- 程序突然退出;
- 磁盘满了;
- 系统被异常登录;
- 服务器重启原因不明。
Linux 常见日志入口有两个:
/var/log journalctl本文重点讲解如何用它们排查问题。
2. /var/log 是什么
传统 Linux 日志通常存放在:
/var/log查看:
ls/var/log常见日志:
| 路径 | 作用 |
|---|---|
/var/log/syslog | 系统综合日志,Ubuntu 常见 |
/var/log/messages | 系统综合日志,CentOS/RHEL 常见 |
/var/log/auth.log | 登录认证日志,Ubuntu 常见 |
/var/log/secure | 安全认证日志,CentOS/RHEL 常见 |
/var/log/dmesg | 内核启动日志 |
/var/log/nginx/ | Nginx 日志 |
/var/log/mysql/ | MySQL 日志 |
/var/log/apt/ | apt 安装日志 |
不同发行版日志文件名可能不同。
3. 查看日志的基础命令
3.1 less 分页查看
less/var/log/syslog常用按键:
| 按键 | 作用 |
|---|---|
| 空格 | 下一页 |
| b | 上一页 |
| /keyword | 搜索 |
| n | 下一个匹配 |
| q | 退出 |
3.2 tail 查看最后几行
tail-n100/var/log/syslog实时跟踪:
tail-f/var/log/syslog3.3 grep 搜索关键词
grep-i"error"/var/log/sysloggrep-n"failed"/var/log/sysloggrep-C3"timeout"/var/log/syslog参数含义:
| 参数 | 作用 |
|---|---|
-i | 忽略大小写 |
-n | 显示行号 |
-C 3 | 显示上下文 3 行 |
4. 登录认证日志
Ubuntu/Debian:
/var/log/auth.logCentOS/RHEL:
/var/log/secure查看 SSH 登录失败:
grep"Failed password"/var/log/auth.log查看登录成功:
grep"Accepted"/var/log/auth.logCentOS/RHEL:
grep"Failed password"/var/log/securegrep"Accepted"/var/log/secure这类日志适合排查:
- SSH 暴力破解;
- 登录失败;
- sudo 使用记录;
- 认证异常。
5. Nginx 日志
常见路径:
/var/log/nginx/access.log /var/log/nginx/error.log实时查看访问:
tail-f/var/log/nginx/access.log实时查看错误:
tail-f/var/log/nginx/error.log查找 500:
grep" 500 "/var/log/nginx/access.log查找错误:
grep-i"error"/var/log/nginx/error.log排查 502 时,优先看:
tail-n100/var/log/nginx/error.log常见原因:
- 后端服务没启动;
- upstream 地址错误;
- 端口不通;
- 后端超时;
- 权限不足。
6. dmesg:查看内核日志
查看内核日志:
dmesg查看最近日志:
dmesg|tail实时跟踪:
dmesg-w查找 OOM:
dmesg|grep-i"killed process"查找磁盘错误:
dmesg|grep-i"error"dmesg常用于排查:
- 硬件识别;
- USB 插拔;
- 磁盘错误;
- 网卡异常;
- OOM Killer;
- 内核报错。
7. journalctl 是什么
现代 Linux 常用 systemd 管理服务。
systemd 的日志可以通过journalctl查看。
查看全部日志:
journalctl查看最近 100 行:
journalctl-n100实时跟踪:
journalctl-f8. journalctl 查看服务日志
查看某个服务:
journalctl-unginx实时查看:
journalctl-unginx-f最近 100 行:
journalctl-unginx-n100查看 myapp 服务日志:
journalctl-umyapp-n100journalctl-umyapp-f这比单纯看 nohup.out 更适合正式服务排查。
9. 按时间筛选日志
查看今天:
journalctl--sincetoday查看最近 1 小时:
journalctl--since"1 hour ago"指定时间段:
journalctl--since"2026-05-18 10:00:00"--until"2026-05-18 11:00:00"查看某服务某时间段:
journalctl-umyapp--since"2026-05-18 10:00:00"--until"2026-05-18 11:00:00"10. 按级别筛选日志
日志级别:
| 级别 | 名称 |
|---|---|
| 0 | emerg |
| 1 | alert |
| 2 | crit |
| 3 | err |
| 4 | warning |
| 5 | notice |
| 6 | info |
| 7 | debug |
查看错误:
journalctl-perr查看 warning 及以上:
journalctl-pwarning查看某服务错误:
journalctl-umyapp-perr11. 查看本次启动日志
当前启动周期:
journalctl-b上一次启动:
journalctl-b-1查看启动列表:
journalctl --list-boots这对排查“服务器为什么重启”很有用。
12. logrotate:日志轮转
日志不能无限增长。
Linux 通常使用logrotate做日志轮转。
配置位置:
/etc/logrotate.conf /etc/logrotate.d/查看:
ls/etc/logrotate.d/轮转后可能出现:
access.log access.log.1 access.log.2.gz查看压缩日志:
zcat access.log.2.gz搜索压缩日志:
zgrep"error"access.log.2.gz13. 常见排查流程
13.1 服务启动失败
systemctl status myapp journalctl-umyapp-n100journalctl-umyapp-f重点搜索:
error failed permission not found address already in use13.2 SSH 登录失败
grep"Failed password"/var/log/auth.log journalctl-ussh-n100或:
journalctl-usshd-n10013.3 程序突然被杀
dmesg|grep-i"killed process"journalctl-k|grep-i"killed process"如果出现 OOM,说明内存不足。
13.4 磁盘满了
df-hdu-sh/var/log/*du-ah/var/log|sort-rh|head不要随便rm正在写的日志文件。
可以清空:
sudotruncate-s0/var/log/large.log14. 日志分析常用命令
统计访问 IP:
awk'{print $1}'access.log|sort|uniq-c|sort-nr|head查找 500 错误:
grep" 500 "access.log统计接口访问次数:
grep"/api/user"access.log|wc-l实时查看错误:
tail-fapp.log|grep--line-buffered-i"error"15. 小结
Linux 日志排查抓住两个入口:
/var/log:传统日志文件 journalctl:systemd 日志常用命令:
tail-f/var/log/syslogtail-f/var/log/nginx/error.loggrep-i"error"app.log journalctl-unginx-fjournalctl-umyapp-n100journalctl--since"1 hour ago"journalctl-perrdmesg|tail排查问题时,建议按这个顺序:
确认问题时间 找到相关服务 看 systemctl status 看 journalctl -u 服务名 看 /var/log 对应日志 搜索 error、failed、timeout、denied 结合端口、进程、磁盘、权限继续判断掌握日志系统后,Linux 服务故障排查会从“猜问题”变成“按证据定位问题”。