如何分析Linux系統日志文件

這篇文章的內容主要圍繞如何分析Linux系統日志文件進行講述，文章內容清晰易懂，條理清晰，非常適合新手學習，值得大家去閱讀。感興趣的朋友可以跟隨小編一起閱讀吧。希望大家通過這篇文章有所收獲！

在Linux系統中日志是一個非常重要的文件，日志文件中詳細的記錄了服務進程工作，當有錯誤發生時可以通過日志文件來進行查看發生了什么。

在你的 Linux 計算機上有很多不同的日志。歷史上，它們一般以純文本的格式存儲到 /var/log 目錄中。現在依然有很多日志這樣做，你可以很方便的使用 less 來查看它們。

在新裝的 openSUSE Leap 42.3 以及大多數現代操作系統上，重要的日志由 systemd 初始化系統存儲。 systemd這套系統負責啟動守護進程，并在系統啟動時讓計算機做好被使用的準備。由 systemd 記錄的日志以二進制格式存儲，這使得它們消耗的空間更小，更容易被瀏覽，也更容易被導出成其他各種格式，不過壞處就是你必須使用特定的工具才能查看。好在這個工具已經預安裝在你的系統上了：它的名字叫 journalctl，而且默認情況下，它會將每個守護進程的所有日志都記錄到一個地方。

只需要運行 journalctl 命令就能查看你的 systemd 日志了。它會用 less 分頁器顯示各種日志。為了讓你有個直觀的感受, 下面是 journalctl 中摘錄的一條日志記錄：

1. Jul 06 11:53:47 aaathats3as pulseaudio[2216]: [pulseaudio] alsa-util.c: Disabling timer-based scheduling because running inside a VM.

這條獨立的日志記錄以此包含了記錄的日期和時間、計算機名、記錄日志的進程名、記錄日志的進程 PID，以及日志內容本身。

若系統中某個程序運行出問題了，則可以查看日志文件并搜索（使用 / 加上要搜索的關鍵字）程序名稱。有可能導致該程序出問題的錯誤會記錄到系統日志中。 有時，錯誤信息會足夠詳細到讓你能夠修復該問題。其他時候，你需要在 Web 上搜索解決方案。 Google 就很適合來搜索奇怪的 Linux 問題。不過搜索時請注意你只輸入了日志的實際內容，行首的那些信息（日期、主機名、進程 ID) 對搜索來說是無意義的，會干擾搜索結果。

解決方法一般在搜索結果的前幾個連接中就會有了。當然，你不能只是無腦得運行從互聯網上找到的那些命令：請一定先搞清楚你要做的事情是什么，它的效果會是什么。據說，搜索系統日志中的特定條目要比直接描述該故障通用關鍵字要有用的多。因為程序出錯有很多原因，而且同樣的故障表現也可能由多種問題引發的。

比如，系統無法發聲的原因有很多，可能是播放器沒有插好，也可能是聲音系統出故障了，還可能是缺少合適的驅動程序。如果你只是泛泛的描述故障表現，你會找到很多無關的解決方法，而你也會浪費大量的時間。而專門搜索日志文件中的實際內容，你也許會查詢出其它人也有相同日志內容的結果。

你可以對比一下圖 1 和圖 2。

圖 1 搜索系統的故障表現只會顯示泛泛的，不精確的結果。這種搜索通常沒什么用。

圖 2 搜索特定的日志行會顯示出精確的，有用的結果。這種搜索通常很有用。

也有一些系統不用 journalctl 來記錄日志。在桌面系統中最常見的這類日志包括用于記錄 openSUSE 包管理器的行為的 /var/log/zypper.log； 記錄系統啟動時消息的 /var/log/boot.log ，開機時這類消息往往滾動的特別快，根本看不過來；/var/log/ntp 用來記錄 Network Time Protocol （NTP）守護進程同步時間時發生的錯誤。 另一個存放硬件故障信息的地方是 “Kernel Ring Buffer”（內核環狀緩沖區），你可以輸入 demesg -H 命令來查看（這條命令也會調用 less 分頁器來查看）。“Kernel Ring Buffer” 存儲在內存中，因此會在重啟電腦后丟失。不過它包含了 Linux 內核中的重要事件，比如新增了硬件、加載了模塊，以及奇怪的網絡錯誤.

什么是Linux系統

Linux是一種免費使用和自由傳播的類UNIX操作系統，是一個基于POSIX的多用戶、多任務、支持多線程和多CPU的操作系統，使用Linux能運行主要的Unix工具軟件、應用程序和網絡協議。

感謝你的閱讀，相信你對“如何分析Linux系統日志文件”這一問題有一定的了解，快去動手實踐吧，如果想了解更多相關知識點，可以關注億速云網站！小編會繼續為大家帶來更好的文章！