linux查看服务日志，linux服务器日志在哪里看

***：主要关注在Linux系统中查看服务日志以及日志位置的问题。在Linux中查看服务日志是系统管理与故障排查的重要操作，然而很多人不清楚服务器日志的查看方式与存储位置。了解这些有助于运维人员监控服务状态、分析故障原因等，是保障Linux服务器正常运行的关键知识内容。

本文目录导读：

1. Linux日志系统概述
2. 常用的日志查看工具
3. 根据服务查看特定日志
4. 日志管理与维护
5. 安全相关的日志分析
6. 故障排查中的日志应用

《Linux服务器日志查看全解析：从入门到精通》

Linux日志系统概述

1、日志的重要性

- 在Linux服务器环境中，日志是系统管理员了解系统运行状态、排查故障、检测安全问题等的重要依据，当服务器出现性能问题时，通过查看系统日志可以发现是哪个进程占用了过多的资源，是CPU、内存还是磁盘I/O，对于安全方面，如果服务器遭受攻击，日志中可能会记录异常的登录尝试或者恶意的网络连接。

- 日志还可以帮助我们追踪应用程序的运行情况，以Web服务器为例，如果网站出现页面加载错误，查看Web服务器的日志可以确定是请求错误、权限问题还是代码中的逻辑错误。

2、日志的分类

系统日志：

- 系统日志记录了Linux系统内核、系统服务以及应用程序在运行过程中的各种事件。/var/log/messages是一个非常重要的系统日志文件（在大多数基于Red Hat和Debian的系统中），它包含了系统启动时的信息、内核消息、设备驱动程序的消息等，当一个新的硬件设备被检测到并初始化时，相关的消息会被记录在messages文件中。

- /var/log/syslog也是一个系统日志文件，它与messages类似，但在某些系统中可能包含更多的详细信息，它可以记录系统进程之间的通信、用户登录和注销等信息。

应用程序日志：

- 不同的应用程序会有自己独立的日志文件，以Apache Web服务器为例，它的日志文件通常位于/var/log/apache2/（在基于Debian的系统中）或者/var/log/httpd/（在基于Red Hat的系统中），其中access.log记录了客户端对Web服务器的访问请求，包括请求的IP地址、请求的页面、请求时间等信息，error.log则记录了Apache服务器在运行过程中遇到的错误，如配置错误、权限问题或者模块加载失败等。

- 对于MySQL数据库服务器，它的日志文件包括错误日志（通常位于/var/log/mysql/error.log），该日志记录了MySQL在启动、运行过程中遇到的错误，如数据库无法启动可能是由于配置文件中的语法错误，或者是磁盘空间不足导致无法写入数据文件等问题。

常用的日志查看工具

1、less和more命令

less命令：

- less是一个功能强大的文本查看器，非常适合查看日志文件，要查看/var/log/messages文件，可以使用命令“less /var/log/messages”。

- 在less视图中，可以使用上下箭头键来滚动查看日志内容，如果想要快速定位到文件的开头或结尾，可以使用快捷键，按“g”键可以跳转到文件的开头，按“G”键可以跳转到文件的结尾。

- less还支持搜索功能，如果想要查找包含特定关键字（如“error”）的日志行，可以在less视图中按“/”键，然后输入“error”，再按回车键，less会定位到第一个包含“error”的日志行，按“n”键可以查看下一个匹配的行。

more命令：

- more命令也是用于查看文本文件的工具，使用方法类似于less，more /var/log/syslog”。

- 但是more命令相对less来说功能较为简单，它只能向下滚动查看文件内容，不能像less那样方便地跳转到文件开头或结尾，也没有less那样强大的搜索功能，当查看较大的日志文件时，more命令可能会因为无法快速定位而显得有些不便。

2、tail和head命令

tail命令：

- tail命令主要用于查看文件的末尾几行，这在查看日志文件时非常有用，因为日志文件通常是不断增长的，我们往往更关心最近发生的事件，要查看/var/log/messages文件的最后10行，可以使用命令“tail -n 10 /var/log/messages”。

- 如果想要实时查看日志文件的更新情况（当服务器正在运行，新的日志不断写入时），可以使用“tail -f /var/log/messages”命令，这个命令会使tail命令一直保持运行状态，一旦有新的日志行被写入文件，就会立即显示在屏幕上，这对于实时监控服务器的运行状态、排查正在发生的故障非常有帮助。

head命令：

- 与tail命令相反，head命令用于查看文件的开头几行。“head -n 5 /var/log/apache2/access.log”可以查看Apache服务器访问日志文件的前5行，这对于快速了解日志文件的格式、查看日志文件的初始状态等非常有用。

3、grep命令

- grep命令是一个强大的文本搜索工具，可以在日志文件中查找包含特定模式的行，如果想要在/var/log/messages文件中查找所有包含“kernel”关键字的日志行，可以使用命令“grep 'kernel' /var/log/messages”。

- grep命令还支持多种搜索模式，可以使用正则表达式来进行更复杂的搜索，如果想要查找以“error”开头的日志行，可以使用命令“grep '^error' /var/log/messages”，^”表示行的开头。

- 结合其他命令使用grep可以更高效地查看日志，先使用tail命令查看日志文件的末尾部分，然后再使用grep在这部分中查找特定的关键字，命令可以写成“tail -n 100 /var/log/messages | grep 'warning'”，这样就可以查看日志文件最后100行中包含“warning”关键字的行。

1、/var/log/dmesg

位置及特点：

- dmesg日志文件位于/var/log/dmesg（在某些系统中，也可以通过执行“dmesg”命令直接查看内核环形缓冲区的内容，该内容与/var/log/dmesg文件中的内容类似），这个文件记录了系统内核在启动过程中的消息，包括硬件设备的检测和初始化信息。

内容解析：

- 在/var/log/dmesg文件中，可以看到系统识别的硬件设备信息，如CPU、内存、硬盘、网络接口等，对于CPU，会显示CPU的型号、核心数量等信息，对于硬盘，会显示硬盘的型号、容量以及分区情况，如果在系统启动过程中某个硬件设备出现问题，如硬盘无法识别或者网络接口初始化失败，相关的错误消息会被记录在这个文件中。

2、/var/log/boot.log

位置及特点：

- boot.log文件位于/var/log/boot.log，它主要记录了系统在启动过程中各个服务和应用程序的启动情况，这个文件在排查系统启动故障时非常有用。

内容解析：

- 在boot.log文件中，可以看到每个服务启动时的状态，是成功启动还是出现错误，对于SSH服务，如果在启动过程中出现配置错误或者端口被占用等问题，会在boot.log文件中记录相应的错误消息，对于一些自定义的启动脚本，它们的执行结果也会被记录在这个文件中，如果自定义脚本在执行过程中出现语法错误或者依赖关系问题，都可以通过查看boot.log文件来发现。

3、/var/log/auth.log（或/var/log/secure）

位置及特点：

- 在基于Debian的系统中，认证相关的日志记录在/var/log/auth.log文件中；而在基于Red Hat的系统中，类似的日志记录在/var/log/secure文件中，这个文件主要记录了用户登录、注销以及权限认证相关的信息。

内容解析：

- 在auth.log或secure文件中，可以看到用户登录尝试的信息，包括登录的用户名、登录的IP地址、登录的时间以及登录是否成功，如果有非法的登录尝试，例如暴力破解密码的行为，会在这个文件中留下大量的登录失败记录，对于sudo命令的使用情况也会被记录在这个文件中，包括哪个用户使用了sudo命令、执行了什么命令等信息，这有助于监控系统的安全状况，防止未经授权的用户获取超级用户权限。

根据服务查看特定日志

1、Web服务（以Apache为例）

日志位置及结构：

- 如前所述，在基于Debian的系统中，Apache的日志文件位于/var/log/apache2/，在基于Red Hat的系统中位于/var/log/httpd/，其中access.log记录了客户端对Web服务器的访问请求，它的结构通常包含以下信息：客户端IP地址、客户端标识（通常是浏览器信息）、用户认证信息（如果有）、请求的日期和时间、请求的方法（如GET、POST等）、请求的资源路径、服务器响应的状态码以及传输的字节数等，一个典型的access.log日志行可能如下：

- 192.168.1.100 - - [10/Jul/2023:10:30:00 +0000] "GET /index.html HTTP/1.1" 200 1234

- error.log记录了Apache服务器在运行过程中遇到的错误，错误类型可能包括配置错误、模块加载失败、文件权限问题等，如果Apache的配置文件中某个指令的语法错误，会在error.log中记录详细的错误信息，如“Syntax error on line 10 of /etc/apache2/apache2.conf: Invalid command 'bad_command'”。

日志分析：

- 通过分析access.log，可以了解网站的访问情况，可以统计不同IP地址的访问频率，找出访问量最大的页面，以及分析用户的行为模式，对于error.log，在排查网站故障时非常重要，如果网站出现页面无法加载的情况，可以首先查看error.log中是否有相关的错误记录，然后根据错误信息进行修复。

2、数据库服务（以MySQL为例）

日志位置及结构：

- MySQL的错误日志通常位于/var/log/mysql/error.log，这个日志文件记录了MySQL在启动、运行过程中的各种错误信息，它的结构包括错误发生的时间、错误的严重程度（如ERROR、WARNING等）、错误的具体描述等，一个典型的MySQL错误日志行可能如下：

- 2023 - 07 - 10T10:30:00.000000Z 0 [ERROR] Can't start server: Bind on TCP/IP port: Address already in use

- 除了错误日志，MySQL还有其他类型的日志，如二进制日志（用于记录数据库的更改操作，用于数据恢复和复制等目的）、查询日志（记录所有的查询操作，但在生产环境中通常不开启，因为会占用大量的磁盘空间）等。

日志分析：

- 当MySQL服务器无法启动或者在运行过程中出现性能问题时，可以通过分析错误日志来查找原因，如果是启动问题，可能是由于配置文件错误、磁盘空间不足或者端口被占用等原因，对于性能问题，可以查看是否有频繁的错误或者警告信息，如查询超时、锁等待等情况，然后根据这些信息对数据库进行优化。

日志管理与维护

1、日志轮转

概念及作用：

- 日志轮转是一种日志管理机制，它可以防止日志文件无限增长而占用过多的磁盘空间，通过定期对日志文件进行备份、压缩，并创建新的日志文件来记录新的日志事件。

实现方式（以logrotate为例）：

- logrotate是Linux系统中常用的日志轮转工具，它的配置文件通常位于/etc/logrotate.conf，在这个文件中，可以定义日志文件的轮转策略，如多久轮转一次（可以是按天、按周、按月等）、轮转后保留多少个旧的日志文件副本等。

- 对于特定的日志文件，还可以在/etc/logrotate.d/目录下创建单独的配置文件，对于Apache的日志文件，可以创建一个名为apache2的配置文件（在基于Debian的系统中），在这个文件中可以定义Apache日志文件的特殊轮转要求，如在轮转前先执行特定的脚本等。

2、日志清理

确定清理策略：

- 根据服务器的磁盘空间大小、日志的重要性以及法律法规要求等因素来确定日志清理策略，对于一些不重要的日志文件，如果磁盘空间紧张，可以考虑定期清理，但对于涉及安全审计等重要的日志文件，需要按照规定的保留期限进行保存。

手动和自动清理方法：

- 手动清理可以使用rm命令直接删除旧的日志文件，但这种方法比较危险，容易误删重要的日志，比较安全的方法是使用脚本结合日志轮转工具来进行自动清理，可以编写一个脚本，在日志轮转完成后，检查旧的日志文件是否超过了规定的保留期限，如果超过，则将其删除。

安全相关的日志分析

1、入侵检测

分析登录失败记录：

- 通过查看/var/log/auth.log（或/var/log/secure）中的登录失败记录，可以检测是否存在暴力破解密码的行为，如果在短时间内同一个IP地址有大量的登录失败尝试，很可能是有人在试图暴力破解密码，如果发现一个IP地址在10分钟内有50次登录失败尝试针对某个用户账户，这是一个明显的异常情况。

- 除了登录失败记录，还可以查看是否有异常的用户账户创建或者权限变更记录，如果有未经授权的用户账户被创建或者某个用户账户的权限被异常提升，这可能是系统被入侵的迹象。

检测异常的网络连接：

- 在系统日志中，可以查找是否有异常的网络连接记录，在/var/log/messages文件中，如果发现有指向外部恶意IP地址的连接，或者有大量的未知端口的连接尝试，这可能是系统被植入恶意软件或者被黑客控制的迹象。

2、合规性检查

遵循安全标准：

- 在许多企业和组织中，需要遵循特定的安全标准，如PCI - DSS（支付卡行业数据安全标准）、HIPAA（健康保险流通与责任法案）等，这些标准对日志的保留期限、日志的内容完整性等有要求。

- PCI - DSS要求商家保留至少一年的与支付卡相关的交易日志，并且这些日志要能够被审计，在Linux服务器环境中，需要确保相关的Web服务器和数据库服务器的日志满足这些要求。

审计日志记录：

- 定期对日志进行审计是确保合规性的重要手段，审计人员可以检查日志文件中是否有违反安全政策的行为，如未经授权的访问、数据泄露等，还可以检查日志文件的完整性，确保日志没有被篡改。

故障排查中的日志应用

1、系统性能问题

CPU使用率过高：

- 当系统出现CPU使用率过高的问题时，可以首先查看/var/log/messages文件中是否有关于CPU相关的错误消息，如过热警告等，可以查看系统进程的日志（许多系统进程会将自己的运行状态记录在系统日志中），找出占用CPU资源最多的进程，可以使用top命令找到占用CPU最高的进程ID，然后在系统日志中查找关于这个进程的相关记录，可能是这个进程存在内存泄漏或者无限循环等问题。

内存不足：

- 如果系统出现内存不足的问题，可以查看系统日志中是否有内存分配失败的记录，对于应用程序的日志，如数据库服务器的日志，可能会记录由于内存不足导致的查询失败或者数据写入失败等情况，通过分析这些日志，可以确定是哪个应用程序或者系统组件消耗了过多的内存，是因为配置不当还是程序中的漏洞导致的。

2、服务故障

Web服务故障：

- 当Apache或其他Web服务器出现故障时，如页面无法加载或者响应缓慢，首先查看Web服务器的error.log文件，如果是配置错误，error.log中会有明确的提示，如果是资源不足导致的，如磁盘I/O过高影响了Web服务器的性能，可以查看系统日志中的磁盘I/O相关记录，以及Web服务器的访问日志，分析是否有某个页面的请求导致了大量的磁盘读写操作。

- 对于数据库连接故障，如果Web应用程序无法连接到数据库，可以查看数据库服务器的错误日志，是否存在数据库服务未启动、网络连接问题或者权限问题等，也可以查看Web服务器的日志，是否有关于数据库连接的错误提示被返回到Web应用程序。

Linux服务器日志是系统管理、安全维护、故障排查等多方面工作的重要依据，通过深入了解日志系统的分类、掌握常用的日志查看工具、熟悉不同服务的日志位置和内容解析，以及合理地进行日志管理和维护，我们可以更好地保障Linux服务器的稳定运行，及时发现和解决各种问题，同时满足安全合规性的要求，无论是系统管理员还是开发人员，都应该重视对Linux服务器日志的学习和应用。