Linux查看系统日志的一些常用命令总结

Last

-a在最后一行显示您登录系统的主机名或IP地址。
-d指定日志文件。
选择日志文件。
将IP地址转换为主机名。
-f指定日志文件。
-n或--设置列表中显示的列数。
-R不显示登录系统的主机名或IP地址。
-x显示系统关闭、重新启动、执行级别更改等信息

查看下面所有重新启动和关闭日志

复制代码如下:last|greprebootlast|grepshutdown

history

列出所有历史记录:

复制代码如下:[zzs@Linux]#historyOnly列出最后10条记录:复制代码如下:[zzs@linux]#h使用istory10(注意history和10之间有一个空格)执行命令的命令历史记录编号。
复制代码如下:[zzs@linux]#!99(!和99之间没有空格)并递归执行,复制上一条命令的代码如下:[zzs@linux]#!!执行上一条命令开始fromrpm(!代表一个字符串,这个字符串可以随便输入,shell会从最后一条历史命令开始往前查找,最多执行第一个匹配的命令。
)复制代码如下:[zzs@linux]#!rpm逐屏列出所有历史记录:复制代码如下:[zzs@linux]#history|more立即清除历史记录复制所有历史命令当前历史记录的代码如下:[zzs@linux]#history-ccat,tail和watch

/var/log下可以查看所有系统日志(具体用途可以指定,自己查一下,附录列出了一些常用的日志)

复制代码如下:cat/var/log/系统日志等cat/var/log/*.log

tail-f如果日志正在更新,如何实时查看tail-f/var/log/messages

也可以使用watch-d-n1cat/var/log/messages

-d表示高亮不同的地方,-n表示多少秒刷新一次。

该命令不会直接返回命令行,而是将新添加的内容实时打印到日志文件中。
这个功能对于查看日志非常有效。
如果想结束输出,只需按Ctrl+C即可

Linux日志文件说明

/var/log/message是系统启动后的信息和错误日志,而RedHatLinux中最常用的日志之一就是/log/secure,与安全相关。
/var/log/maillog邮件相关日志信息/var/log/cron计划任务相关日志信息/var/log/spoolerUUCP、新闻机相关日志信息/var/log/boot.log日志启动和停止守护进程相关的消息/var/log/wtmp该日志文件永久记录每个用户的登录和注销以及系统启动和关闭事件

Linux下grep命令使用实例

grep命令参数

grep'word'filenamegrep'word'file1file2file3...fileNgrep'string1string2'filenamecatfilename|grep"string"Command|grep"string"grep–color"string"文件名

如何使用grep命令搜索文件的内容?

要查看/etc/passwd文件中是否存在用户user1,可以使用以下命令:

复制代码如下:[root@devops~]#grepuser1/etc/passwduser1:x:501:501::/home/user1:/bin/bash[root@devops~]#如果你想忽略大小写并搜索例如:User1、USER1或其他组合,可以您使用-i选项复制代码,如下所示:[root@devops~]#grep-iuser1/etc/passwduser1:x:501:501::/home/user1:/bin/bashUSER1:x:502:502::/home/USER1:/bin/bash[root@devops~]#grep命令递归搜索

可以在各级子目录中递归搜索匹配的搜索模式在目录行下,使用-r选项

复制代码。
代码如下:[root@devops~]#grep-ruser1/etc|more/etc/group-:user1:x:501:/etc/shadow:user1:!!:16176:0:99999:7:::/etc/group:user1:x:501:/etc/passwd-:user1:x:501:501::/home/user1:/bin/bash/etc/gshadow-:user1:!::/etc/shadow-:user1:!!:16176:0:99999:7:::/etc/passwd:user1:x:501:501::/home/user1:/bin/bash/etc/gshadow:user1:!::/etc/postfix/virtual:#user1@virtual-alias.domainaddress1[root@devops~]#使用grep匹配一个单词

-w选项使得grep命令只搜索一个word,而不是要匹配的单词的一部分

示例:

复制代码如下:[root@devops~]#grepuser1/etc/passwduser1:x:501:501::/home/user1:/bin/bashuser1add:x:503:503::/home/user1add:/bin/bash[root@devops~devops~]#grep-w'user1′/etc/passwduser1:x:501:501::/home/user1:/bin/bash在此示例中,模式具有它可以匹配“user1”两行,所以当你只想匹配一个完整的单词user1时,可以使用-w选项。

使用grep命令查找2个不同的单词

复制代码如下:[root@devops~]#egrep-w"user1|USER1"/etc/passwduser1:x:501:501::/home/user1:/bin/bashUSER1:x:502:502::/home/USER1:/bin/bash[root@devops~]#统计找到的行数grep

grep命令可以使用-c选项显示匹配的行数

复制代码代码如下:[root@devops~]#grep-c'user1′/etc/passwd2使用选项-n显示文件中找到的行的行号。
复制代码如下:[root@.devops~]#grep-n'user1′/etc/passwd23:user1:x:501:501::/home/user1:/bin/bash25:user1add:x:503:503::/home/user1add:/bin/bashgrep反向查找只显示不匹配的行

可以使用-v选项显示不匹配的行,例如:

复制代码如下:[root@devops~]#grep-vuser1/etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:守护进程:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/synclinux管道字符和grep命令经常一起使用

grep命令常与linux或unix管道字符一起使用,例如显示硬盘设备名称:

复制代码如下:[root@devops~]#dmesg|egrep'(s|h)d[a-z]'NMIwatchdogdisabled(cpu0):hardwareeventsnotenabledsd2:0:0:0:[sda]41943040512字节逻辑块:(21.4GB/20.0GiB)sd2:0:0:0:[sda]WriteProtectisoffsd2:0:0:0:[sda]ModeSense:61000000sd2:0:0:0:[sda]Cachedataunavailablesd2:0:0:0:[sda]假设drivecache:writethroughsd2:0:0:0:[sda]Cachedataunavailablesd2:0:0:0:[sda]假设drivecache:writethroughsda:sda1sda2sd2:0:0:0:[sda]Cachedataunavailablesd2:0:0:0:[sda]假设drivecache:writethroughsd2:0:0:0:[sda]附加的SCSIdiskdracut:扫描ningdevicessda2forLVM逻辑卷vg_devops/lv_rootvg_devops/lv_swapEXT4-fs(sda1):已安装filesystemwithordereddatamode.Opts:SELinux:initialized(devsda1,typeext4),usesxattr显示cpu模块名称:[~ootrcvos:copydevice//cpuinfo|grep-i'Model'model:42modelname:Intel(R)Core(TM)i3-2350MCPU@2.30GHz[root@devops~]#如何只打印包含模式的文件名而不是打印一行行文本系统代码如下:[root@devops~]#grep-l'user1′/etc/*/etc/group/etc/group-/etc/gshadow/etc/gshadow-/etc/passwd/etc/passwd-/etc/shadow/etc/阴影-