Linux日志管理五大命令有哪些详解

1、who命令

成都创新互联咨询热线：18982081108，为您提供成都网站建设网页设计及定制高端网站建设服务，成都创新互联网页制作领域十年，包括成都自拌料搅拌车等多个方面拥有多年的网站推广经验，选择成都创新互联，为企业锦上添花。

who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。使用该命令，系统管理员可以查看当前系统存在哪些不法用户，从而对其进行审计和处理。例如：运行who命令显示如下所示：

# who

root     pts/1        2010-02-22 13:02 (:0.0)

root     pts/2        2010-02-22 15:57 (:0.0)

root     pts/3        2010-02-22 15:57 (:0.0)

如果指明了wtmp文件名，则who命令查询所有以前的记录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。例如：运行该命令如下所示：

root     :0           2010-01-24 21:47

root     pts/1        2010-01-24 21:47 (:0.0)

root     :0           2010-02-20 19:36

root     pts/1        2010-02-20 19:36 (:0.0)

root     :0           2010-02-21 15:21

root     pts/1        2010-02-21 15:56 (:0.0)

root     pts/2        2010-02-21 16:03 (:0.0)

root     :0           2010-02-22 13:01

root     pts/1        2010-02-22 13:02 (:0.0)

root     pts/2        2010-02-22 15:57 (:0.0)

root     pts/3        2010-02-22 15:57 (:0.0)

2、user命令

users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。运行该命令将如下所示：

# users

root root root

3、last 命令

last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。系统管理员可以周期性地对这些用户的登录情况进行审计和考核，从而发现起中存在的问题，确定不法用户，并进行处理。运行该命令，如下所示：

# last

root     pts/3        :0.0             Mon Feb 22 15:57   still logged in

root     pts/2        :0.0             Mon Feb 22 15:57   still logged in

root     pts/1        :0.0             Mon Feb 22 13:02   still logged in

root     :0                            Mon Feb 22 13:01   still logged in

reboot   system boot  2.6.18-8.el5     Mon Feb 22 12:56          (03:02)

root     pts/2        :0.0             Sun Feb 21 16:03 - down   (02:37)

4、ac命令

ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间（小时），如果不使用标志，则报告总的时间。例如：ac（回车）显示：total 18.47，如下所示：

# ac

total       18.47

另外，可加一些参数，例如，last -u 102将报告UID为102的用户；last -t 7表示限制上一周的报告。

5、lastlog命令

lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示**Never logged**。注意需要以root身份运行该命令。

参考资料：《Linux如何学》，部分来源网络

linux下如何使用命令行查看apache日志？

1、apache日志位置

/var/log/apache2/

错误信息：

/var/log/apache2/error.log

其它信息：

/var/log/apache2/access.log

在命令行查看这些日志：（需要root权限）

2、 cat 、head、more、vi、vim等命令都可以查看及编辑apche的日志文件

$sudo cat /var/log/apache2/error.log

$ sudo vi /var/log/apache2/error.log

3、tailf命令可以持续查看文件更新信息：

$sudo tailf /var/log/apache2/access.log

注意：如果是直接root登陆,可以把sudo去掉。

linux2-查日志

tail catalina.out

查最后10行

tail -f filename

输出最后10行内容，同时监视文件的改变，只要文件有一变化就显示出来。

tail -n 5 filename 或者 tail -5 filename

输出文件最后5行的内容

tail -nf catalina.out

输出文件最后n行的内容，同时监视文件的改变，只要文件有一变化就同步刷新并显示出来

more catalina.out

命令会从前往后一页一页的显示

空格是下一页；按 b 键就会往回（back）一页显示；= 输出当前行的行号

more +n catalina.out

从笫 n 行开始显示

more -n catalina.out

定义屏幕大小为 n 行，每次显示n行

more +/"this aaa" catalina.log

从 catalina.log文件中查找第一个出现"this aaa"字符串的行，并从该处前两行开始[显示输出]

cat catalina.out

查看

cat my.txt EOF

添加内容

cat my.txt EOF

追加内容

cat a.txt b.txt c.txt d.txt

合并多个文件到一个文件中

q 退出less

空格键 向下滚动一屏；

b 向上滚动一屏；

回车键 向下移动一行；

y 向上移动一行；

d 向下滚动半屏；

u 向上洋动半屏；

g 跳到第一行；

G 跳到最后一行；

w 可以指定显示哪行开始显示，是从指定数字的下一行显示；比如指定的是6，那就从第7行显示；

p n% 跳到n%，比如 10%，也就是说比整个文件内容的10%处开始显示；

/pattern 搜索pattern ，比如 /MAIL表示在文件中搜索MAIL单词；

v 调用vi编辑器；

h less的帮助；

head -n 5 catalina.log 或者 head -5 catalina.log

显示文件前5行

zgrep "xxxx" catalian.gz

不解压过滤压缩包中文本

加颜色

grep -C6 --color

Linux运维知识：从命令行如何查看Linux日志

1.查看日志常用命令

(1)tail:  

-n  是显示行号；相当于nl命令；例子如下：

tail -100f test.log      实时监控100行日志

tail  -n  10  test.log   查询日志尾部最后10行的日志;

tail -n +10 test.log    查询10行之后的所有日志;

(2)head:  

跟tail是相反的，tail是看后多少行日志；例子如下：

head -n 10  test.log   查询日志文件中的头10行日志;

head -n -10  test.log   查询日志文件除了最后10行的其他所有日志;

(3)cat： 

tac是倒序查看，是cat单词反写；例子如下：

cat -n test.log |grep "debug"   查询关键字的日志

2. 应用场景一：按行号查看---过滤出关键字附近的日志

(1)cat -n test.log |grep "debug"  得到关键日志的行号

(2)cat -n test.log |tail -n +92|head -n 20  选择关键字所在的中间一行. 然后查看这个关键字前10行和后10行的日志:

tail -n +92表示查询92行之后的日志

head -n 20 则表示在前面的查询结果里再查前20条记录

3. 应用场景二：根据日期查询日志

sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p'  test.log

特别说明:上面的两个日期必须是日志中打印出来的日志,否则无效；

先 grep '2014-12-17 16:17:20' test.log 来确定日志中是否有该 时间点

4.应用场景三：日志内容特别多，打印在屏幕上不方便查看

(1)使用more和less命令,

如： cat -n test.log |grep "debug" |more     这样就分页打印了,通过点击空格键翻页

(2)使用 xxx.txt 将其保存到文件中,到时可以拉下这个文件分析

如：cat -n test.log |grep "debug"  debug.txt

linux下怎么把日志拷贝出来

1、首先进入系统日志，所有服务的登录的文件或错误信息文件，都在/var/log/记录下来  cd /var/log/。

2、/var/log/secure：记录登录系统存取数据的文件;/var/log/message:几乎所有的开机系统发生的错误都会在此记录。

3、tail  -n  10  filename.log执行这个命令，查询日志尾部最后10行的日志。

4、tail  -n  +20  filename.log，查询20行之后的日志。

5、head -n 20  filename.log 查询日志前十条。

6、cat -n filename.log |grep "1.0.0"  安装关键词“1.0.0”进行搜索日志。

Linux服务器查看日志的几种方法

1、通过linux命令行工具（如：xshell4工具），连接到指定服务器；

2、通过cd

命令进入指定文件目录，回车；（如：cd

/usr/ibm/websphere/appserver/profiles/emall0202/logs），

3、使用

命令：tail

-f

systemout.log

4、进行动态跟踪；（注意：跟踪时，先执行命令，再发http请求，然后回到命令行工具，退出同动态跟踪(使用ctrl+c)）

5、怎么最快的索引到关键字，使用

vi

systemout.log

打开日志文件；（vi命令等同于windows里的打开视图编辑器）

6、打开以后，使用“

/

”

+

”关键字“

，回车即可；

小窍门：

1、当输入一个已有的文件/文件目录的首字母，然后按tab键，会自动索引对应的文件名或提示）；

2、cd

..

为回退到父文件夹命令，中间有个空格；

3、ls

命令列出文件夹下的所有文件；

4、linux

的vi编辑器退出方法。

先esc

:

q

在未作修改的情况下退出！

:

q!

放弃所有修改，退出编辑程序！

网页题目：linux日志移动命令行,linux日志操作常用命令
转载来源：http://scyingshan.cn/article/dsgsjsh.html