Linux日志怎么分析_高频场景实战指导更易上手【教学】

Linux日志分析关键在问题导向：查服务启动失败看systemctl状态和journalctl日志，排查CPU飙升用top+ps+lsof，分析Web异常用grep/awk过滤Nginx日志，安全审计盯auth.log中的失败登录、异常时段成功登录和sudo提权行为。

Linux日志分析不靠死记命令，关键在定位问题场景+匹配典型模式+快速验证假设。下面按你最常遇到的几类情况，直接给思路、命令和判断依据，跳过理论，上手就用。

查服务启动失败（比如nginx、mysql起不来）

重点看服务自身的日志 + systemd状态 + 最近10行错误线索：

• 先看 systemd 报错：systemctl status nginx —— 注意“Active: failed”后面那句提示，常直接告诉你缺配置、端口被占或权限不对
• 再追日志：journalctl -u nginx.service -n 20 -e（-n 20取最后20行，-e 跳到底部）
• 常见信号：bind() to 0.0.0.0:80 failed (98: Address already in use) → 端口冲突；open() "/etc/nginx/nginx.conf" failed (13: Permission denied) → SELinux 或文件权限问题

排查服务器变慢或CPU飙升

别一上来就翻/var/log/messages，先锁定“谁在作怪”：

• 实时看进程：top 或 htop（按 CPU% 排序），记下可疑 PID
• 查这个进程干了啥：ps -fp PID 看完整命令；lsof -p PID 看它打开了哪些文件/网络连接
• 顺藤摸瓜查日志：grep PID /var/log/syslog 或 journalctl _PID=PID -n 15，看它是否频繁报错、重试、写大量日志

分析Web访问异常（404/502/超时）

Nginx/Apache 日志是主战场，核心是“按需过滤+聚焦字段”：

Zapier Agents

Zapier推出的Agents智能体，集成7000+应用程序

103

查看详情

• 快速筛出502错误：grep ' 502 ' /var/log/nginx/access.log | tail -10
• 查某IP高频请求（防爬/攻击）：awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -5
• 看慢请求（响应时间 > 2s）：awk '$(NF-1) > 2 {print}' /var/log/nginx/access.log | tail -5（Nginx默认日志中倒数第二列是 $request_time）

安全审计：有没有人非正常登录？

盯紧 /var/log/auth.log（Debian/Ubuntu）或 /var/log/secure（CentOS/RHEL）：

• 失败登录：grep "Failed password" /var/log/auth.log
• 成功但可疑（非工作时间、非常用IP）：grep "Accepted password" /var/log/auth.log | grep -E "(02:|03:|04:)"（查凌晨2–4点）
• 提权行为：grep "sudo:" /var/log/auth.log，重点看命令是否异常（如 sudo rm -rf /、sudo su -）

基本上就这些。日志不是越全越好，而是问题导向、层层缩小范围、用最少命令验证最大可能。多练几次，看到报错第一反应就不是“懵”，而是“去哪找线索”。

以上就是Linux日志怎么分析_高频场景实战指导更易上手【教学】的详细内容，更多请关注php中文网其它相关文章！