在 Linux 系统中查看日志是开发和运维的核心技能，以下是常见的日志查看工具和技巧，按使用频率和场景分类：

一、基础命令（高频使用）

1.tail- 实时追踪日志

# 实时查看最新10行（动态更新）
tail -f /var/log/nginx/access.log

# 查看最新100行并实时更新
tail -n 100 -f /var/log/syslog

# 查看多个日志文件
tail -f /var/log/nginx/access.log /var/log/nginx/error.log

2.grep- 过滤关键词

# 查找包含"ERROR"的行
grep "ERROR" /var/log/app.log

# 忽略大小写查找"exception"
grep -i "exception" /var/log/app.log

# 显示匹配行的前后5行
grep -C 5 "timeout" /var/log/nginx/error.log

# 结合tail实时过滤
tail -f /var/log/app.log | grep "WARN"

3.less- 交互式查看大文件

less /var/log/messages

# 常用快捷键：
#   /pattern  向前搜索（n下一个，N上一个）
#   ?pattern  向后搜索
#   G         跳到文件末尾
#   gg        跳到文件开头
#   q         退出

二、高级过滤与分析

1.awk- 按列处理日志

# 统计nginx访问日志中每个IP的请求数
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr

# 计算HTTP状态码分布
awk '{print $9}' /var/log/nginx/access.log | sort | uniq -c

2.sed- 替换和修改日志内容

# 删除包含"DEBUG"的行
sed '/DEBUG/d' /var/log/app.log

# 替换敏感信息
sed 's/[0-9]\{16\}/**** **** **** ****/g' /var/log/payment.log

三、日志定位与时间过滤

1. 根据时间范围查找

# 查找今天的日志（结合date命令）
grep "$(date +%Y-%m-%d)" /var/log/app.log

# 查找特定时间段的日志
sed -n '/2023-05-17 09:00:00/,/2023-05-17 10:00:00/p' /var/log/app.log

2. 多文件搜索

# 在所有日志文件中搜索关键词
grep -r "ERROR" /var/log/

# 只搜索特定类型的文件
grep -r "timeout" --include=*.log /var/log/nginx/

四、实时监控工具

1.watch- 定时刷新命令输出

# 每2秒刷新一次日志统计
watch -n 2 "tail -n 50 /var/log/nginx/access.log | awk '{print $9}' | sort | uniq -c"

2.htop/glances- 系统资源监控

# 监控CPU、内存、磁盘I/O等资源
htop
glances

五、日志分析工具

1.journalctl- 系统服务日志（适用于 systemd 系统）

# 查看nginx服务日志
journalctl -u nginx.service

# 实时跟踪最新日志
journalctl -u nginx.service -f

# 按时间范围过滤
journalctl -u nginx.service --since "2023-05-17 09:00" --until "2023-05-17 10:00"

2.logrotate- 日志轮转管理

# 手动执行日志轮转
logrotate -f /etc/logrotate.conf

# 查看日志轮转配置
cat /etc/logrotate.d/nginx

六、进阶技巧

1. 远程查看日志

# 通过ssh远程查看
ssh user@server "tail -f /var/log/app.log"

# 使用scp下载日志
scp user@server:/var/log/app.log .

2. 日志可视化

• ELK Stack：Elasticsearch + Logstash + Kibana 组合实现日志收集、存储和可视化。
• Promtail + Loki + Grafana：轻量级日志聚合方案。

七、常见场景处理

1. 大文件快速定位

# 查看文件大小和行数
du -h /var/log/big.log
wc -l /var/log/big.log

# 跳到中间位置
less +100000 /var/log/big.log

2. 二进制日志查看

# 查看二进制日志（如mysql-bin.000001）
mysqlbinlog /var/lib/mysql/mysql-bin.000001

# 查看压缩日志
zcat /var/log/syslog.1.gz | grep "error"

总结

• 基础操作：tail、grep、less 是日常高频工具。
• 复杂分析：结合 awk、sed 进行高级过滤和统计。
• 系统日志：journalctl 是 systemd 系统的首选。
• 监控工具：watch、htop 辅助实时监控。
• 可视化：ELK 或 Loki 适合大规模日志分析。

通过组合使用这些工具，可高效定位和解决生产环境中的问题。