对于运维工程师、后端开发者而言,Shell日志是系统运行的“晴雨表”,更是故障排查的“核心线索库”。无论是服务器异常宕机、服务启动失败,还是接口响应缓慢、权限报错,几乎所有问题都能在日志中找到蛛丝马迹。但面对GB级别的海量日志、杂乱无章的输出内容,很多人会陷入“无从下手”的困境——要么找不到关键信息,要么被冗余日志淹没,浪费大量排查时间。
本文将跳出“单纯记命令”的误区,以实战为核心,从日志基础认知、核心分析命令、常见故障场景拆解、进阶技巧四个维度,手把手教你用Shell高效分析日志、定位故障,让你在面对各类系统问题时,都能快速找到突破口,提升排查效率。
一、前置认知:Shell日志的核心分类与存储规律
在开始分析之前,我们首先要明确:Linux系统的日志机制非常完善,各类日志按功能分类存储,不同日志对应不同的故障场景,掌握其存储规律,能让我们排查时“有的放矢”,避免盲目搜索。
Shell日志主要分为四大类,核心存储路径集中在/var/log/目录下(不同Linux发行版略有差异,如CentOS与Ubuntu部分日志文件名不同),具体分类及用途如下:
1.1 核心系统与内核日志(系统级故障首选)
-
/var/log/messages(CentOS/RHEL)或/var/log/syslog(Debian/Ubuntu):系统最核心的通用日志,记录系统启动信息、应用程序标准输出、系统级报错等,无法归类的系统问题,优先查看此日志。 -
/var/log/dmesg:记录内核环缓冲区信息,主要包含硬件检测(CPU、内存、硬盘)、驱动加载、内核启动细节,排查硬件识别、驱动故障时重点关注。 -
/var/log/kern.log:专门记录内核产生的日志,比dmesg更持久、详细,适合深入排查内核相关故障。
1.2 安全与认证日志(权限、登录故障首选)
-
/var/log/secure(CentOS/RHEL)或/var/log/auth.log(Debian/Ubuntu):核心安全日志,记录所有用户认证、授权事件,包括SSH登录(成功/失败)、sudo命令使用、su用户切换等,排查暴力破解、权限被盗用问题必看。 -
/var/log/btmp:记录所有失败的登录尝试,为二进制文件,无法直接用cat查看,需用lastb命令,适合分析恶意IP扫描密码的情况。 -
/var/log/wtmp:记录所有用户登录、注销历史,用last命令查看,可快速定位用户操作时间线。
1.3 服务与应用日志(服务故障首选)
-
/var/log/cron:记录计划任务(cron job)的执行情况,包括任务是否按时触发、执行报错等,定时脚本未生效时优先查看。 -
/var/log/nginx/(Nginx)、/var/log/httpd/(Apache):Web服务专属日志目录,包含access.log(访问记录)和error.log(错误记录),排查网页无法访问、接口报错必看。 -
/var/log/mysql/(MySQL/MariaDB):数据库服务日志,包含启动关闭信息、SQL查询错误、慢查询日志等,数据库连接失败、查询超时可重点关注。
1.4 启动与初始化日志(开机故障首选)
-
/var/log/boot.log:记录系统开机启动过程中各服务的启动状态(成功/失败),开机后功能异常时,可查看此日志定位卡住或报错的服务。
关键提醒:日志文件默认按时间/大小轮转(如auth.log.1、auth.log.2.gz),压缩日志需用zgrep等命令解压搜索,避免遗漏历史故障线索。
二、核心命令:Shell日志分析“三板斧”(必练实操)
日志分析的核心是“过滤冗余、提取关键”,而Shell中的grep、awk、sed就是最常用的“三板斧”——三者配合管道(|)使用,能解决80%的日志分析需求。以下结合实战场景,讲解每个命令的核心用法,新手可直接复制命令实操。
2.1 grep:关键词搜索利器(快速定位核心线索)
grep是日志分析的基础,核心作用是“按关键词/正则筛选日志行”,常用参数结合场景如下,重点记高频用法:
|
常用参数 |
作用 |
实战示例 |
|---|---|---|
|
-i |
忽略大小写,避免因大小写差异遗漏结果 |
|
|
-n |
显示匹配行的行号,方便定位上下文 |
|
|
-C 数字 |
显示匹配行前后指定行数的上下文(关键!还原故障现场) |
|
|
-v |
反向过滤,排除包含指定关键词的行(过滤冗余) |
|
|
-E |
启用扩展正则,支持多条件匹配 |
|
|
无参数(配合zgrep) |
搜索压缩日志,无需手动解压 |
|
2.2 awk:字段提取与统计大师(结构化日志分析)
很多日志是“空格/制表符分隔”的结构化内容(如Nginx访问日志、系统日志),awk可按列提取字段、统计数据,比grep更擅长“精准提取关键信息”,核心用法如下:
核心语法
awk '{print $n}' 日志文件($n代表第n列,列数从1开始,分隔符默认是空格)
实战场景示例
-
提取Nginx访问日志中的IP、请求URL、状态码(假设日志格式为“IP 时间 请求方式 URL 状态码”):
# 提取IP(第1列)、URL(第4列)、状态码(第9列)awk '{print "IP:"$1, "URL:"$4, "状态码:"$9}' /var/log/nginx/access.log -
统计各IP的访问次数(按从多到少排序):
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr解析:awk提取IP → sort排序 → uniq -c统计次数 → sort -nr按次数倒序 -
按小时统计请求量(假设时间格式为“2026-04-10T10:23:45”):
awk '{gsub(/T/, " ", $1); # 替换T为空格,拆分日期和时间split($1, dt, " "); # 拆分日期和时间split(dt[2], tm, ":"); # 拆分时分秒hour = tm[1]; # 提取小时count[hour]++; # 按小时计数}END {for (h in count) {print h ":00 - " h ":59 => " count[h] " 次请求"}}' /var/log/nginx/access.log
2.3 sed:流编辑器(日志清洗与批量处理)
sed主要用于日志预处理,比如清洗冗余内容、批量替换字符、删除空白行等,在日志格式不规范时非常实用,核心实战用法如下:
-
批量替换日志中的敏感信息(如手机号脱敏):
sed 's/[0-9]\{11\}/(脱敏手机号)/g' /var/log/app.log > cleaned.log -
删除日志中的空白行,精简日志内容:
sed '/^$/d' /var/log/messages > clean_messages.log -
批量删除包含指定关键词的冗余日志(如删除所有INFO级日志):
sed '/INFO/d' /var/log/app.log > error_only.log
2.4 组合技:管道(|)的妙用(复杂场景排查)
实际故障排查中,单一命令往往不够用,通过管道将grep、awk、sed、sort、wc等命令组合,能实现更复杂的分析需求,以下是高频组合示例:
-
统计ERROR级日志的总数量:
grep -i "error" /var/log/app.log | wc -l -
查找访问量最高的前10个URL:
awk '{print $7}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -10 -
分析恶意登录IP(统计失败登录次数前5的IP):
zgrep "Failed password" /var/log/auth.log* | awk '{print $11}' | sort | uniq -c | sort -nr | head -5 -
实时监控日志新增内容(配合过滤关键词):
tail -f /var/log/nginx/error.log | grep -i "error"
三、实战场景:4类高频故障排查拆解(直接套用)
掌握了核心命令后,最关键的是“结合场景灵活运用”。以下是运维工作中最常见的4类故障,每类都包含“故障现象→日志定位→命令排查→解决方案”,新手可直接套用思路,快速解决问题。
场景1:SSH远程连接失败(权限/认证类故障)
故障现象
使用Xshell或本地终端SSH连接服务器时,提示“Connection refused”“Permission denied”,无法正常登录。
日志定位
SSH连接相关日志主要存储在/var/log/secure(CentOS)或/var/log/auth.log(Ubuntu),优先查看此日志。
排查命令与分析
-
查看SSH连接相关错误,过滤关键信息:
grep -i "ssh" /var/log/secure | grep -i "error\|failed" -
常见错误及解决方案:
-
错误1:
Connection refused→ 原因:SSH服务未启动、端口被防火墙拦截、端口号修改未匹配。 解决方案:启动SSH服务(systemctl restart sshd);关闭防火墙或开放22端口;核对SSH端口号。 -
错误2:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password)→ 原因:密码错误、公钥配置异常、密钥权限过高。 解决方案:核对密码;检查公钥是否正确上传到服务器~/.ssh/authorized_keys;调整密钥权限(chmod 600 ~/.ssh/id_rsa、chmod 644 ~/.ssh/id_rsa.pub)。 -
错误3:
Failed password for root from 192.168.1.100 port 54321 ssh2→ 原因:存在暴力破解,密码被多次尝试。 解决方案:统计恶意IP(grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | head -5),防火墙拉黑该IP;修改root密码为复杂密码,开启公钥认证。
-
场景2:Nginx服务启动失败(服务类故障)
故障现象
执行systemctl start nginx启动服务时,提示“Job for nginx.service failed because the control process exited with error code”,服务启动失败。
日志定位
Nginx启动失败的核心日志的是/var/log/nginx/error.log,同时可结合/var/log/messages查看系统级报错。
排查命令与分析
-
查看Nginx错误日志,重点关注启动时的初始化错误(日志开头部分):
head -n 50 /var/log/nginx/error.log -
常见错误及解决方案:
-
错误1:
bind() to 0.0.0.0:80 failed (98: Address already in use)→ 原因:80端口被其他进程占用。 解决方案:查找占用80端口的进程(netstat -tulnp | grep :80),杀死该进程(kill -9 进程ID),重新启动Nginx。 -
错误2:
invalid number of arguments in "listen" directive→ 原因:Nginx配置文件(/etc/nginx/nginx.conf)语法错误。 解决方案:检查配置文件语法(nginx -t),根据提示修改错误配置,重新启动服务。 -
错误3:
open() "/var/log/nginx/access.log" failed (13: Permission denied)→ 原因:Nginx用户无日志文件读写权限。 解决方案:修改日志目录权限(chmod 755 /var/log/nginx),或修改Nginx配置文件中的用户权限。
-
场景3:计划任务(crontab)未执行(定时任务类故障)
故障现象
配置的定时备份脚本(如数据库备份、日志清理)未按时执行,无备份文件生成,不确定是脚本问题还是定时任务问题。
日志定位
crontab定时任务的执行日志存储在/var/log/cron,所有任务的执行情况(成功/失败)都会记录在此。
排查命令与分析
-
查看定时任务执行日志,过滤指定脚本的执行记录:
grep -i "backup.sh" /var/log/cron -
常见错误及解决方案:
-
错误1:日志中无该脚本的执行记录 → 原因:crontab任务配置错误(如时间格式错误、脚本路径错误)。 解决方案:查看crontab配置(
crontab -l),核对时间格式(分 时 日 月 周),确保脚本路径为绝对路径(如/root/backup.sh)。 -
错误2:日志中显示
/bin/sh: backup.sh: command not found→ 原因:脚本路径未写绝对路径,crontab无法找到脚本。 解决方案:修改crontab配置,将脚本路径改为绝对路径,重新加载crontab(systemctl restart crond)。 -
错误3:日志中显示脚本执行,但无备份文件 → 原因:脚本本身报错(如权限不足、命令错误)。 解决方案:手动执行脚本(
/root/backup.sh),查看报错信息;给脚本添加执行权限(chmod +x /root/backup.sh);在脚本中添加日志输出(如echo "执行时间:$(date)" >> /var/log/backup.log),便于排查脚本内部错误。
-
场景4:服务器开机启动失败(系统级故障)
故障现象
服务器重启后无法正常进入系统,停留在启动界面,提示“failed to start xxx service”,无法登录终端。
日志定位
开机启动相关日志存储在/var/log/boot.log,记录了启动过程中所有服务的启动状态,是排查开机故障的核心日志。
排查命令与分析
-
若能进入单用户模式,直接查看启动日志:
cat /var/log/boot.log | grep -i "failed" -
若无法进入系统,可通过CentOS/Ubuntu安装光盘进入救援模式,挂载系统分区后查看日志:
# 挂载系统分区(假设系统分区为/dev/sda1)mount /dev/sda1 /mnt# 查看启动日志cat /mnt/var/log/boot.log | grep -i "failed" -
常见错误及解决方案:
-
错误1:
failed to start LSB: Bring up/down networking→ 原因:网络配置错误(如IP地址冲突、网卡配置文件错误)。 解决方案:修改网卡配置文件(/etc/sysconfig/network-scripts/ifcfg-eth0),核对IP地址、网关等信息,重启网络服务(systemctl restart network)。 -
错误2:
failed to start mysqld.service→ 原因:MySQL服务启动失败,可能是配置文件错误、数据目录损坏。 解决方案:查看MySQL错误日志(/var/log/mysql/error.log),根据提示修复配置文件或数据目录;若无需该服务,可临时禁用(systemctl disable mysqld),先正常进入系统。
-
四、进阶技巧:提升日志分析效率的5个实用方法
对于海量日志(GB级)或复杂故障,仅靠基础命令效率较低,以下5个进阶技巧,能帮你进一步提升排查效率,减少无效操作。
4.1 日志轮转与归档(避免日志过大)
系统默认会对日志进行轮转(通过logrotate工具),但可根据需求自定义轮转规则,避免日志文件过大导致分析卡顿。修改/etc/logrotate.conf或对应服务的日志轮转配置(如/etc/logrotate.d/nginx),可设置轮转周期、保留天数、压缩方式等。
4.2 自定义日志输出格式(便于结构化分析)
对于自定义应用日志,建议在代码中规范日志格式(如“时间 级别 模块 内容 IP 用户ID”),例如:2026-04-10 15:30:00 ERROR 订单模块 支付失败 IP:192.168.1.1 用户ID:12345,后续用awk提取字段时会更高效。
4.3 使用journalctl查看systemd日志(新版系统首选)
CentOS 7+、Ubuntu 15.04+ 等使用systemd的系统,可通过journalctl命令统一查看所有系统日志,无需切换多个日志文件,高频用法如下:
-
journalctl:查看所有系统日志 -
journalctl -b:查看本次启动后的日志 -
journalctl -f:实时追踪日志更新(类似tail -f) -
journalctl -u nginx.service:查看指定服务(如nginx)的所有日志
4.4 编写Shell日志分析脚本(自动化排查)
对于重复出现的排查场景(如每日日志巡检、错误统计),可编写Shell脚本实现自动化分析,示例脚本(log_analyzer.sh)如下,可根据需求修改:
#!/bin/bash
# 日志分析脚本:统计每日ERROR日志、访问量TOP10 IP
LOG_FILE="/var/log/nginx/error.log"
REPORT_FILE="log_report_$(date +%Y%m%d).txt"
# 检查日志文件是否存在
if [ ! -f "$LOG_FILE" ]; then
echo "日志文件不存在:$LOG_FILE"
exit 1
fi
# 生成分析报告
echo "===== 日志分析报告($(date +%Y-%m-%d))=====" > $REPORT_FILE
echo "1. ERROR日志总数:$(grep -i "error" $LOG_FILE | wc -l)" >> $REPORT_FILE
echo
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
