一、命令介绍

1、tail命令

        tail命令是Linux系统中常用的命令之一，用于查看文件的末尾内容。它具有许多有用的选项，可以帮助用户轻松地查找并显示文件中的信息。 它默认显示文件的最后10行，但可以通过各种选项来定制输出的行数、字节数等。tail命令常用于监视和分析日志文件以及其他随时间变化的文件。一些常用的tail命令选项包括：

• -n：用于指定要显示的行数。例如，tail -n 20 filename.txt会显示filename.txt文件的最后20行。
• -f：用于实时追踪文件的更改并输出新增的内容。这对于监视正在写入的日志文件特别有用，如tail -f /var/log/syslog。
• -c：以字节为单位显示指定范围的内容。例如，tail -c 100M largefile.log会显示largefile.log文件的最后100MB内容。

2、grep命令

       ·grep命令是一种强大的文本搜索工具，它能使用正则表达式搜索文本，并把匹配的行打印出来。grep命令的全称是Global Regular Expression Print，表示全局正则表达式版本，它的使用权限是所有用户。grep命令可以通过各种命令行选项来增强其功能，例如使用-G、-E、-F选项来分别实现类似egrep和fgrep的功能。

        grep命令在Linux系统中被广泛应用，例如在系统日志文件中搜索特定的错误信息，或者在大量的文本文件中查找特定的内容。它也可以与其他命令结合使用，例如通过管道将某个命令的输出作为grep的输入，从而过滤出需要的信息。

二、命令组合的实例

        使用tail命令的-f选项可以方便的查阅正在改变的日志文件,tail -f filename会把filename里最尾部的内容显示在屏幕上,并且不但刷新,使你看到最新的文件内容。这个功能广泛应用于程序调试以及流程跟踪等场景，非常实用。

1. 实时跟踪并过滤日志中的错误信息

tail -f /var/log/syslog | grep "error"   

tail -f /var/log/messages | grep "error"

        这个命令会实时跟踪系统日志文件 /var/log/syslog，并只显示包含 "error" 字样的行。这对于快速定位和处理系统错误非常有用。实际效果如下：

[root@ecs-52a1 serverlog]#[root@ecs-52a1 serverlog]# tail -f /var/log/messages | grep "error"Feb 21 22:00:29 ecs-52a1 dnf[3827294]:  File "/usr/lib64/python3.6/site-packages/libdnf/error.py", line 17, in <module>Feb 21 22:00:29 ecs-52a1 dnf[3827294]:    _error = swig_import_helper()Feb 21 22:00:29 ecs-52a1 dnf[3827294]:  File "/usr/lib64/python3.6/site-packages/libdnf/error.py", line 16, in swig_import_helperFeb 21 22:00:29 ecs-52a1 dnf[3827294]:    return importlib.import_module('_error')Feb 21 22:00:29 ecs-52a1 dnf[3827294]: ModuleNotFoundError: No module named '_error'^C[root@ecs-52a1 serverlog]#

2. 跟踪特定用户的登录记录

tail -f /var/log/auth.log | grep "username"

tail -f /var/log/secure | grep "username"

        这个命令会跟踪 /var/log/auth.log 文件（通常是认证日志文件），并只显示包含特定用户名 "username" 的行。这有助于监视特定用户的登录活动。实际效果如下：

[root@ecs-52a1 serverlog]#[root@ecs-52a1 serverlog]#[root@ecs-52a1 serverlog]# tail -n 100 /var/log/secure | grep "yunwei"Feb 21 21:20:00 ecs-52a1 sshd[3040976]: Accepted password for 121yunwei from 153.35.12.24 port 58840 ssh2Feb 21 21:20:00 ecs-52a1 sshd[3040976]: pam_unix(sshd:session): session opened for user 121yunwei by (uid=0)Feb 21 21:20:00 ecs-52a1 sshd[3041691]: Accepted password for 121yunwei from 153.35.12.24 port 17229 ssh2Feb 21 21:20:00 ecs-52a1 sshd[3041691]: pam_unix(sshd:session): session opened for user 121yunwei by (uid=0)Feb 21 21:20:09 ecs-52a1 su[3042919]: pam_unix(su:session): session opened for user root by 121yunwei(uid=1003)[root@ecs-52a1 serverlog]#

3. 分析 web 服务器访问日志中的特定请求

tail -f /var/log/apache/localhost_access_log | grep "GET /specific-page"

        这个命令会跟踪 Apache web 服务器的访问日志，并只显示包含 "GET /specific-page" 字样的行。这对于分析特定页面的访问情况非常有用。实际效果如下：

[root@ecs-52a1 serverlog]# tail -f /usr/apache/logs/localhost_access_log.2024-02-21.txt | grep "GET /webmgr/"
153.35.127.24 - - [21/Feb/2024:23:03:39 +0800] "GET /webmgr/css/menu.css HTTP/1.1" 200 1575
153.35.127.24 - - [21/Feb/2024:23:03:39 +0800] "GET /webmgr/msg/mymsg.js HTTP/1.1" 200 1432
153.35.127.24 - - [21/Feb/2024:23:03:39 +0800] "GET /webmgr/script/LayuiWinUtils.js HTTP/1.1" 200 3152
153.35.127.24 - - [21/Feb/2024:23:03:39 +0800] "GET /webmgr/script/LinkMap.js HTTP/1.1" 200 7234
153.35.127.24 - - [21/Feb/2024:23:03:39 +0800] "GET /webmgr/script/prototypeExt/StringExt.js HTTP/1.1" 200 310
153.35.127.24 - - [21/Feb/2024:23:03:39 +0800] "GET /webmgr/script/forbid.js HTTP/1.1" 200 2288
153.35.127.24 - - [21/Feb/2024:23:03:39 +0800] "GET /webmgr/images/btnedit.png HTTP/1.1" 200 1099
153.35.127.24 - - [21/Feb/2024:23:03:39 +0800] "GET /webmgr/images/btndelete.png HTTP/1.1" 200 1090
153.35.127.24 - - [21/Feb/2024:23:03:39 +0800] "GET /webmgr/layuiadmin/layui/lay/modules/laypage.js HTTP/1.1" 200 4472^C
[root@ecs-52a1 serverlog]#

4. 实时显示某个进程的日志输出

tail -f /var/log/processofmy.log | grep "important"

        如果有一个名为 processofmy的进程，其日志输出保存在 /var/log/processofmy.log 文件中，这个命令会实时跟踪该日志文件，并只显示包含 "important" 字样的行。实际效果如下：

[root@ecs-52a1 serverlog]# tail -f ./sipserver.log | grep "Register"ProcAuthSuccForRegister:Get Ext Register<32050100001320000035@180.108.95.62:2145> Register KeepAlive Time<300>!ProcAuthSuccForRegister:Get Ext Register<32050100001320000202@180.108.95.62:2081> Register KeepAlive Time<300>!ProcRegister: DBTunnelSoap register successfully to <http://127.0.0.1:8081>.RegisterToUpperPlatform:ToSvr<123.60.149.23:9000 username=admin pass = xxxx>  Expires<3600>.RegisterToUpperPlatform:ToSvr<120.78.93.97:5060 username=32050100002000000001 pass = xxxxxxx>  Expires<3600>.^C[root@ecs-52a1 serverlog]#

5. 监视某个文件的变化，并过滤特定内容

tail -f /mypath/file.txt | grep "pattern"

        这个命令会实时跟踪 file.txt 文件的变化，并只显示包含 "pattern" 字样的行。这对于监视文件内容的变化并筛选感兴趣的部分非常有用。

三、和其他命令组合的实例

1. 使用 tail、grep 和 wc 统计特定日志条目的数量

tail -n 1000 /var/log/app.log | grep "ERROR" | wc -l

        这个命令会首先使用 tail 显示日志文件的最后 1000 行，然后使用 grep 过滤出包含 "ERROR" 的行，最后使用 wc -l 统计这些行的数量，从而得知最近 1000 条日志中有多少个错误条目。

2.使用 tail、grep 和 sort 对日志进行排序

tail -n 1000 /var/log/access.log | grep "GET" | sort -r

        这个命令会跟踪访问日志文件的最后 1000 行，过滤出所有包含 "GET" 请求的行，并使用 sort -r 将这些行按照逆序（从最新到最旧）排列，从而可以查看最近的 GET 请求。

3. 使用 tail、grep 和 awk 提取和处理特定字段

tail -f /var/log/syslog | grep "auth" | awk '{print $2, $3}'

        这个命令会实时跟踪系统日志文件，过滤出包含 "auth" 的行，然后使用 awk 提取每行的第二和第三个字段（默认字段分隔符是空格或制表符），从而仅显示这些字段的内容。

4. 使用 tail、grep 和 sed 进行文本替换

tail -n 100 /var/log/messages | grep "warning" | sed 's/warning/ERROR/g'

        这个命令会显示日志文件中最后 100 行，过滤出包含 "warning" 的行，然后使用 sed 将这些行中的 "warning" 替换为 "ERROR"。这对于将警告级别提升为错误级别非常有用。