文章
文章用户商铺文档快讯圈子网址导航

Linux日志分析教程:grep, awk与管道命令实战,快速定位问题根源

Linux日志分析教程:grep, awk与管道命令实战,快速定位问题根源

服务器的日志文件,是不是像一本用外星语写成的、无穷无尽的“天书”?它冰冷、密集、毫无感情。但你心里清楚,你网站崩溃的秘密、那个黑客入侵的唯一线索、那个导致性能瓶颈的罪魁祸首,就藏在这片密密麻麻的字符海洋里。

可你,却像一个没有罗盘的水手,迷失其中,只能用catless命令,一页一页地、漫无目的地翻看,期待着奇迹的出现。

这种感觉,该结束了。

今天,我将授予你三件“上古神器”,它们是Linux世界里最强大的“文本三叉戟”。掌握了它们,你就能像一位顶级的数据侦探,戴上“X光眼镜”,拿起“手术刀”,让任何日志文件,都在你面前坦白一切,开口说话。

三款强大的Linux服务器日志分析工具,帮你快速定位问题根源

在我们请出这三位“大神”之前,你要先理解我们的“作战地图”——也就是日志文件,通常都藏在哪里。最常见的,是在/var/log/这个目录下。比如:

  • Nginx的日志: /var/log/nginx/access.log (访问日志) 和 error.log (错误日志)
  • 系统安全日志: /var/log/auth.log (Debian/Ubuntu) 或 /var/log/secure (CentOS/Red Hat)
  • 你应用的日志: 可能在你的项目目录里,也可能在/var/log/的某个子目录。

好了,找到了“案发现场”,让我们来召唤第一件神器。

神器一:grep —— 万能的“超级探照灯”

grep,是你在黑暗的日志海洋里,唯一需要打开的第一束光。它的工作,简单粗暴且极其有效:从一大堆文本里,把你指定的“关键词”所在的行,全部捞出来。

  • 它像什么? 它就像一把威力无穷的“探照灯”,在你下达指令后,瞬间扫过整片海洋,所有身上带有“目标特征”的鱼,都会被照得锃亮。
  • 实战场景一:网站出现502错误,你想快速看看Nginx的错误日志里说了什么。

Bash

# 在Nginx错误日志里,搜索所有包含“error”(不分大小写)的行
grep -i "error" /var/log/nginx/error.log
  • -i 参数,就是告诉grep,“别管大小写,给我找!”

实战场景二:你想看看,有没有某个特定的IP地址(比如123.45.67.89)访问过你的网站。

Bash

grep "123.45.67.89" /var/log/nginx/access.log

grep的“进阶玩法”——上下文追踪: 有时候,只看到错误的那一行,信息量不够。我们需要看看“案发前后”,到底发生了什么。

Bash

# 在找到“critical”这个关键词后,把它前(Before)2行、后(After)2行,都给我显示出来
grep -C 2 "critical" /var/log/nginx/error.log
    • -C 2 (Context) 的意思就是“上下文”。你也可以用-A 2 (After)只看后面,或-B 2 (Before)只看前面。这就像你让“目击证人”,不仅要说出那句关键的话,还要回忆一下“之前之后都聊了啥”。

grep帮你把调查范围,从茫茫大海,缩小到了一个几百行的“嫌疑人列表”里。但现在,我们想对这个列表,做更精细的“解剖”。于是,第二件神器登场了。

神器二:awk —— 精准的“数据手术刀”

awk,是一个极其强大的文本处理工具。如果说grep是“”,那么awk就是“”。它能把日志里的每一行,都像切洋葱一样,按照“分隔符”(默认是空格),精准地切成一列一列的,然后让你对某一列,或某几列,进行单独处理。

  • 它像什么? 它就像一把能精确到微米的“数据手术刀”,能让你从复杂的“病理组织”(日志行)中,精准地剥离出你想要的“病变细胞”(特定字段)。
  • 实战场景一:你想知道,都有哪些IP地址,访问过你的网站。 Nginx的访问日志access.log,第一列,通常就是访客的IP地址。

Bash

awk '{print $1}' /var/log/nginx/access.log
  • '{print $1}' 这段“咒语”的意思是:对于每一行文本,请帮我打印出它的第1列$2就是第2列,以此类推。

实战场景二:你想看看,所有访问失败(404)的请求,到底是哪个IP,访问了哪个不存在的页面。 在Nginx日志里,第9列通常是“状态码”,第7列是“请求的路径”。

Bash

awk '$9 == "404" {print "IP:", $1, "  URL:", $7}' /var/log/nginx/access.log
    • $9 == "404":这是一个“条件判断”。只有当第9列的内容,等于“404”时,后面的print动作才会被执行。
    • {print "IP:", $1, " URL:", $7}:打印出固定的“IP:”字样,后面跟着第1列的内容,再打印出“URL:”,后面跟着第7列的内容。
    执行这条命令,你可能会看到成百上千条,各种奇奇怪怪的IP,在扫描你网站上各种不存在的管理后台路径。awk这位“手术医生”,帮你把这些“癌细胞”,全部清晰地呈现在了你的显微镜下。

神器三:管道符 | —— 打造你的“数据流水线”

grepawk本身已经足够强大。但当它们通过一个叫“管道符| 的东西连接起来时,它们就能组成一条无所不能的“自动化数据处理流水线”。

管道符|的作用很简单:将前一个命令的所有输出结果,作为后一个命令的输入。

  • 它像什么? 它就是一条“传送带”。你把grep这台“筛选机”找到的“矿石”,通过传送带,送给awk这台“切割机”进行深加工。

现在,让我们来完成一个最经典、也最酷的“侦探任务”:实时抓出,正在用密码暴力破解我服务器SSH端口的、攻击频率最高的TOP 10 IP地址!

“破案”流水线,我们一步一步搭建:

  1. 第一步:启动实时监控 tail -f命令,可以实时地、动态地,显示一个文件的最新内容。

Bash

sudo tail -f /var/log/auth.log

现在,你的屏幕上,会实时滚动所有关于系统登录和认证的日志。

2.第二步:用“探照灯”grep,锁定“犯罪行为” 我们只关心那些“密码失败”的日志。

Bash

sudo tail -f /var/log/auth.log | grep "Failed password"

现在,屏幕上只剩下那些“尝试撬锁”的记录了。

3.第三步:用“手术刀”awk,取出“罪犯IP” 仔细观察“Failed password”的日志行,你会发现IP地址,通常在第11位或第9位。我们假设是第11位。

Bash

sudo tail -f /var/log/auth.log | grep "Failed password" | awk '{print $11}'

现在,屏幕上就只剩下那些正在攻击你的、干净的IP地址列表了。

4.第四步:用sortuniq,进行“统计分析” 现在,我们要对这些IP进行计数。

  • sort:先对IP进行排序,让相同的IP都挨在一起。
  • uniq -c:然后,统计这些挨在一起的IP,分别出现了多少次 (-c就是count)。

Bash

# 为了演示,我们不再用tail -f,而是对整个文件进行分析
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c

输出结果会变成这样:

5 1.2.3.4
22 2.3.4.5
3 3.4.5.6

  1. 意思是,“1.2.3.4”这个IP,攻击了5次。
  2. 第五步:用sort -nrhead,找出“头号通缉犯” 最后,我们要对上面的“攻击次数”,进行一次倒序排列,并只看前10名。
    • sort -nr-n代表按“数字”排序,-r代表“反向”(从大到小)。
    • head -n 10:只显示排序后的前10行。

终极“破案神咒”诞生了:

Bash

grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -n 10

好的,今天这篇文章,我们将化身为“数据侦探”。

服务器的日志文件,是不是像一本用外星语写成的、无穷无尽的“天书”?它冰冷、密集、毫无感情。但你心里清楚,你网站崩溃的秘密、那个黑客入侵的唯一线索、那个导致性能瓶颈的罪魁祸首,就藏在这片密密麻麻的字符海洋里。

可你,却像一个没有罗盘的水手,迷失其中,只能用catless命令,一页一页地、漫无目的地翻看,期待着奇迹的出现。

这种感觉,该结束了。

今天,我将授予你三件“上古神器”,它们是Linux世界里最强大的“文本三叉戟”。掌握了它们,你就能像一位顶级的数据侦探,戴上“X光眼镜”,拿起“手术刀”,让任何日志文件,都在你面前坦白一切,开口说话。

三款强大的Linux服务器日志分析工具,帮你快速定位问题根源

在我们请出这三位“大神”之前,你要先理解我们的“作战地图”——也就是日志文件,通常都藏在哪里。最常见的,是在/var/log/这个目录下。比如:

  • Nginx的日志: /var/log/nginx/access.log (访问日志) 和 error.log (错误日志)
  • 系统安全日志: /var/log/auth.log (Debian/Ubuntu) 或 /var/log/secure (CentOS/Red Hat)
  • 你应用的日志: 可能在你的项目目录里,也可能在/var/log/的某个子目录。

好了,找到了“案发现场”,让我们来召唤第一件神器。

神器一:grep —— 万能的“超级探照灯”

grep,是你在黑暗的日志海洋里,唯一需要打开的第一束光。它的工作,简单粗暴且极其有效:从一大堆文本里,把你指定的“关键词”所在的行,全部捞出来。

  • 它像什么? 它就像一把威力无穷的“探照灯”,在你下达指令后,瞬间扫过整片海洋,所有身上带有“目标特征”的鱼,都会被照得锃亮。
  • 实战场景一:网站出现502错误,你想快速看看Nginx的错误日志里说了什么。Bash# 在Nginx错误日志里,搜索所有包含“error”(不分大小写)的行 grep -i "error" /var/log/nginx/error.log
    • -i 参数,就是告诉grep,“别管大小写,给我找!”
  • 实战场景二:你想看看,有没有某个特定的IP地址(比如123.45.67.89)访问过你的网站。Bashgrep "123.45.67.89" /var/log/nginx/access.log
  • grep的“进阶玩法”——上下文追踪: 有时候,只看到错误的那一行,信息量不够。我们需要看看“案发前后”,到底发生了什么。Bash# 在找到“critical”这个关键词后,把它前(Before)2行、后(After)2行,都给我显示出来 grep -C 2 "critical" /var/log/nginx/error.log
    • -C 2 (Context) 的意思就是“上下文”。你也可以用-A 2 (After)只看后面,或-B 2 (Before)只看前面。这就像你让“目击证人”,不仅要说出那句关键的话,还要回忆一下“之前之后都聊了啥”。

grep帮你把调查范围,从茫茫大海,缩小到了一个几百行的“嫌疑人列表”里。但现在,我们想对这个列表,做更精细的“解剖”。于是,第二件神器登场了。

神器二:awk —— 精准的“数据手术刀”

awk,是一个极其强大的文本处理工具。如果说grep是“”,那么awk就是“”。它能把日志里的每一行,都像切洋葱一样,按照“分隔符”(默认是空格),精准地切成一列一列的,然后让你对某一列,或某几列,进行单独处理。

  • 它像什么? 它就像一把能精确到微米的“数据手术刀”,能让你从复杂的“病理组织”(日志行)中,精准地剥离出你想要的“病变细胞”(特定字段)。
  • 实战场景一:你想知道,都有哪些IP地址,访问过你的网站。 Nginx的访问日志access.log,第一列,通常就是访客的IP地址。Bashawk '{print $1}' /var/log/nginx/access.log
    • '{print $1}' 这段“咒语”的意思是:对于每一行文本,请帮我打印出它的第1列$2就是第2列,以此类推。
  • 实战场景二:你想看看,所有访问失败(404)的请求,到底是哪个IP,访问了哪个不存在的页面。 在Nginx日志里,第9列通常是“状态码”,第7列是“请求的路径”。Bashawk '$9 == "404" {print "IP:", $1, " URL:", $7}' /var/log/nginx/access.log
    • $9 == "404":这是一个“条件判断”。只有当第9列的内容,等于“404”时,后面的print动作才会被执行。
    • {print "IP:", $1, " URL:", $7}:打印出固定的“IP:”字样,后面跟着第1列的内容,再打印出“URL:”,后面跟着第7列的内容。
    执行这条命令,你可能会看到成百上千条,各种奇奇怪怪的IP,在扫描你网站上各种不存在的管理后台路径。awk这位“手术医生”,帮你把这些“癌细胞”,全部清晰地呈现在了你的显微镜下。

神器三:管道符 | —— 打造你的“数据流水线”

grepawk本身已经足够强大。但当它们通过一个叫“管道符| 的东西连接起来时,它们就能组成一条无所不能的“自动化数据处理流水线”。

管道符|的作用很简单:将前一个命令的所有输出结果,作为后一个命令的输入。

  • 它像什么? 它就是一条“传送带”。你把grep这台“筛选机”找到的“矿石”,通过传送带,送给awk这台“切割机”进行深加工。

现在,让我们来完成一个最经典、也最酷的“侦探任务”:实时抓出,正在用密码暴力破解我服务器SSH端口的、攻击频率最高的TOP 10 IP地址!

“破案”流水线,我们一步一步搭建:

  1. 第一步:启动实时监控 tail -f命令,可以实时地、动态地,显示一个文件的最新内容。Bashsudo tail -f /var/log/auth.log 现在,你的屏幕上,会实时滚动所有关于系统登录和认证的日志。
  2. 第二步:用“探照灯”grep,锁定“犯罪行为” 我们只关心那些“密码失败”的日志。Bashsudo tail -f /var/log/auth.log | grep "Failed password" 现在,屏幕上只剩下那些“尝试撬锁”的记录了。
  3. 第三步:用“手术刀”awk,取出“罪犯IP” 仔细观察“Failed password”的日志行,你会发现IP地址,通常在第11位或第9位。我们假设是第11位。Bashsudo tail -f /var/log/auth.log | grep "Failed password" | awk '{print $11}' 现在,屏幕上就只剩下那些正在攻击你的、干净的IP地址列表了。
  4. 第四步:用sortuniq,进行“统计分析” 现在,我们要对这些IP进行计数。
    • sort:先对IP进行排序,让相同的IP都挨在一起。
    • uniq -c:然后,统计这些挨在一起的IP,分别出现了多少次 (-c就是count)。
    Bash# 为了演示,我们不再用tail -f,而是对整个文件进行分析 grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c 输出结果会变成这样: 5 1.2.3.4 22 2.3.4.5 3 3.4.5.6 意思是,“1.2.3.4”这个IP,攻击了5次。
  5. 第五步:用sort -nrhead,找出“头号通缉犯” 最后,我们要对上面的“攻击次数”,进行一次倒序排列,并只看前10名。
    • sort -nr-n代表按“数字”排序,-r代表“反向”(从大到小)。
    • head -n 10:只显示排序后的前10行。

终极“破案神咒”诞生了:

Bash

grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -n 10

当你在你的服务器上,敲下这行看似天书般的命令,然后看到屏幕上,清晰地列出了那10个最“恨”你的IP地址和它们的攻击次数时,那种“掌控一切”的感觉,无与伦比。

你,已是“日志的低语者”

这三件神器——探照灯grep,手术刀awk,以及由sortuniq等组成的、通过“管道”连接的“黄金搭档”——现在,已经正式列装到你的“数字军火库”中了。

它们,是你在Linux世界里排查问题的“倚天剑”与“屠龙刀”。

面对再庞大、再混乱的日志“犯罪现场”,你,都将是那个最冷静、最高效的“名侦探夏洛克”。你不再害怕错误,因为你知道,任何错误,都会在日志里,留下它的“指纹”。

真相,只有一个。而你,现在拥有了找到它的所有工具。

知识库

Kubernetes (K8s)入门指南:Docker之后,为什么需要容器编排?

2025-8-25 9:36:41

知识库

VPC私有网络入门指南:一文搞懂子网、安全组与服务器安全架构

2025-8-25 10:14:48

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧