linux怎么查看系统日志

在Linux系统中，查看系统日志可以通过以下几种方式：

一、使用 dmesg命令

1. 基础概念
   • dmesg（display message或者driver message）命令用于显示内核环缓冲区（kernel ring buffer）中的消息。内核环缓冲区包含了系统启动过程中的硬件检测信息、驱动加载信息以及一些内核相关的事件消息等。

• 优势
  • 可以快速查看系统启动时硬件相关的信息，例如检测到的硬盘型号、内存大小等。并且能获取到一些内核模块加载过程中的详细信息。
• 应用场景
  • 当怀疑硬件设备未被正确识别或者驱动存在问题时，可以使用dmesg查看启动时的硬件相关信息。例如，如果新安装了一个显卡，使用dmesg | grep -i vga（这里-i表示忽略大小写）可以查看内核是否正确识别了该显卡。
• 示例
  • 查看所有内核消息：dmesg
  • 查看特定关键字（如网络相关）的消息：dmesg | grep -i eth（假设是查看以太网相关的消息）

二、查看 /var/log目录下的日志文件

1. 基础概念
   • /var/log是Linux系统中存放各种日志文件的目录。不同的日志文件记录了系统不同方面的信息。

• 优势
  • 日志分类明确，方便针对特定类型的事件进行查询。例如，系统日志、安全日志、应用程序日志等分开存放。
• 类型及应用场景
  • messages文件：记录了系统的一般信息，如系统启动过程中的服务启动信息、内核消息等。可用于排查系统整体运行过程中的常规问题。
  • secure文件（在某些系统中可能是auth.log）：主要记录与安全相关的事件，如用户登录尝试（成功和失败的）、权限变更等。当怀疑有非法登录尝试或者权限管理出现问题时可以查看。
  • syslog文件：在一些系统中，它是系统日志的综合文件，包含了多种类型的系统消息。
• 示例
  • 查看系统一般信息日志：less /var/log/messages
  • 查看安全日志（以secure为例）：grep 'Failed password' /var/log/secure（这里查找失败的密码登录尝试记录）

三、使用 journalctl命令（适用于systemd系统）

1. 基础概念
   • 当Linux系统使用systemd作为初始化系统时，journalctl用于查询系统日志。它管理着系统的日志存储，可以将日志按照不同的标准进行筛选和展示。

• 优势
  • 功能强大，可以对日志进行时间范围筛选、按照服务筛选、按照优先级筛选等操作。并且能够实时查看日志输出。
• 应用场景
  • 当需要精确查找特定时间段内的系统事件，或者特定服务的运行日志时非常有用。例如，要查看某个Web服务（如nginx）在最近一小时内的启动和停止相关的日志。
• 示例
  • 查看所有日志：journalctl
  • 查看特定服务（如ssh服务）的日志：journalctl -u sshd
  • 查看最近10分钟的日志：journalctl -n 10
  • 查看错误级别（优先级）以上的日志：journalctl -p err.