查看 Unix 日志文件

Question

我们在工作中正在讨论，查看日志文件最好的UNIX命令工具是什么。一方说少用，另一方说多用。一个比另一个更好吗？

Answer 1

一个常见的问题是日志有太多进程写入日志，我更喜欢使用以下命令过滤日志文件并控制输出：

tail -f /var/log/| grep <一些标识符> |更多

这个命令组合允许您查看活动日志文件，而不会被输出淹没。

Answer 2

我选择少一点。这样做的原因是（在 lessopen 的帮助下）它可以读取 gzipped 日志（由 logrotate 存档）。

作为这个单一命令的示例，我可以以时间顺序模式读取 dpkg 日志，而无需处理不同的 gzip 压缩日志：

减去 $(ls -rt /var/log/dpkg.log*) |少

Answer 3

Multitail 是最好的选择，因为您可以同时查看多个日志。它还可以为内容着色，并且您可以设置正则表达式来突出显示您要查找的条目。

Answer 4

您可以使用任何程序：less、nano、vi、tail、cat 等，它们的功能有所不同。
还有许多日志查看器：gnome-system-log、kiwi 等（它们可以按日期/类型等对日志进行排序）

Answer 5

少即是多。尽管当我查看日志时，我通常会搜索特定的内容或只是对最后几个事件感兴趣，但我发现自己使用的是 cat、pipes 和 grep 或 tail，而不是或多或少。

Answer 6

少就是最好，我认为。与编辑器相比，它的重量很轻，它允许向前和向后导航，它具有强大的搜索功能，等等。按“h”寻求帮助。花时间熟悉它是非常值得的。

Answer 7

在我的 Mac 上，使用标准终端窗口，less 和 more 之间有一个区别，即退出后：

• less 不会给我留下太多混乱。 screen
• more 在我的屏幕上留下更多有用的信息

因此，如果我认为我可能想在查看器完成后对正在查看的材料执行某些操作（例如，复制和粘贴操作），我使用更多；如果我不想在完成后使用该材料，那么我会少用。

less 的主要优点是能够向后滚动；因此，我倾向于使用 less 而不是 more，但两者对我都有用处。 YMMV（YMWV；在本例中W = 意志！）。

Answer 8

由于您的问题一般是关于“Unix 系统”，因此请考虑到这一点
在某些情况下你别无选择，对于旧系统你只有更多可用，
但也不少。
LESS是GNU工具的一部分，MORE来自UCB时代。

Answer 9

打开grep的行缓冲模式。

1. 使用tail（实时监控）

   tail -f 文件名
   

2. 使用less（实时监控）

   less +F 文件名
   

3. 使用 tail & grep

   tail -f 文件名 | grep --行缓冲 my_pattern
   

4. 使用 less & grep

   less +F 文件名 | grep --行缓冲 my_pattern
   

5. 使用 watch &尾部突出显示新行

   watch -d tail 文件名 
   

   <块引用>

   注意：适用于 Linux 系统。