linux实时查看日志变化的方法

一、tail命令实时查看日志

tail命令可以查看文件的末尾内容。如果加上-f参数，则可以实时查看文件的变化。例如：

tail-f/var/log/syslog

这条命令会实时显示/var/log/syslog的内容变化。可以利用这个命令来查看正在运行的程序的日志，例如，查看nginx的错误日志：

tail-f/var/log/nginx/error.log

另外，可以使用grep过滤想要查看的内容，例如：

tail-f/var/log/nginx/access.log|grep"192.168.1.1"

这样就可以实时查看所有访问192.168.1.1的请求。

二、使用watch命令监控日志

watch命令可以定时执行一个命令，并实时显示输出。这个命令在监控系统状态、监控日志变化等方面非常有用。例如，可以使用watch监控系统当前的网络连接情况：

watch-n1"netstat-an|grepESTABLISHED|wc-l"

上面的命令每秒钟执行一次netstat命令，并显示当前系统中已建立连接的数量。

同样的，也可以使用watch来监控日志变化。例如：

watch-n1"cat/var/log/nginx/access.log|tail-n10"

这条命令每秒钟执行一次cat命令，显示nginx的访问日志的最后10行。

三、使用inotify-tools监控目录变化

inotify-tools是一个Linux下的工具集，可以监控目录变化，并执行一些自定义动作。

例如，可以使用inotifywait命令来监控/var/log目录下的所有文件变化：

inotifywait-m/var/log

这个命令会实时显示/var/log目录下的所有文件的变化。可以利用这个命令实现自定义的文件监控脚本。

四、使用logrotate定时切割日志

日志文件会随着时间的推移越来越大，为了方便管理和减少存储空间的占用，需要定时切割日志。这个任务可以通过logrotate来实现。

可以通过编写logrotate配置文件来指定需要切割的日志文件和切割的方式。例如，以下是一个nginx的logrotate配置文件：

/var/log/nginx/*.log{
daily
missingok
rotate52
compress
delaycompress
notifempty
create640nginxadm
sharedscripts
postrotate
/usr/sbin/nginx-sreopen
endscript
}

上面的配置文件指定了每天切割一次nginx的日志文件，保留52个旧日志文件。同时会进行压缩，并在切割后重启nginx服务。

五、使用ELK实现日志集中存储和分析

ELK是Elasticsearch、Logstash和Kibana三个工具的组合。Elasticsearch是一个开源的分布式搜索引擎，可以存储大量的结构化和非结构化数据；Logstash是一款用来处理日志、指标等数据的工具，可以将数据从不同的来源搜集过来，并转化为可查询的结构；Kibana是一个基于Elasticsearch的开源分析和可视化平台，可以展示通过Logstash搜集过来的数据。

使用ELK可以实现日志的集中存储和分析。例如，可以搜集所有服务器的日志到Elasticsearch中，然后通过Kibana进行可视化展示和查询。这样可以方便快捷地了解系统中出现的问题。

可参考以下代码来搭建ELK环境：

#安装Elasticsearch
wgethttps://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.4.0-linux-x86_64.tar.gz
tar-xzfelasticsearch-7.4.0-linux-x86_64.tar.gz
cdelasticsearch-7.4.0/bin
./elasticsearch

#安装Logstash
wgethttps://artifacts.elastic.co/downloads/logstash/logstash-7.4.0.tar.gz
tar-xzflogstash-7.4.0.tar.gz
cdlogstash-7.4.0/bin
./logstash-e'input{stdin{}}output{elasticsearch{hosts=>["localhost:9200"]}}'

#安装Kibana
wgethttps://artifacts.elastic.co/downloads/kibana/kibana-7.4.0-linux-x86_64.tar.gz
tar-xzfkibana-7.4.0-linux-x86_64.tar.gz
cdkibana-7.4.0/bin
./kibana

然后可以通过访问http://localhost:5601来打开Kibana的Web界面，进行数据的查询和可视化展示。

六、使用rsyslog收集日志

rsyslog是一个高性能的日志系统，可以将日志收集到远程服务器中，并支持远程日志的过滤、处理和转发。

可以通过修改/etc/rsyslog.conf配置文件来指定日志的收集方式。例如，以下配置可以将nginx的访问日志发送到远程服务器上：

module(load="imfile")

input(type="imfile"
File="/var/log/nginx/access.log"
Tag="nginx"
Facility="local6")

local6.*@@remote_server:514

上面的配置使用imfile模块来监控/var/log/nginx/access.log文件，并使用local6作为Facility。然后将local6的日志转发到远程服务器的514端口。

总结

本文介绍了6种实时查看日志变化的方法。从监控程序日志、监控系统状态、监控目录变化、定时切割日志、日志集中存储和分析、远程日志收集等方面进行了详细的讲解。不同的方法适用于不同的场景，选取合适的方法可以提高工作效率和问题的处理速度。

原创文章，作者：小蓝，如若转载，请注明出处：https://www.506064.com/n/244459.html