一个大文件,如果用cat命令打印,则根本无从下手。这时需要使用awk、tail、grep、sed等命令,只查找关键的数据。
tail查看最新输出
-f (follow):实时追加显示文件尾部内容
tail -f XXX
只看最后 200行,并保持实时刷新,避免被历史日志干扰
tail -n 20 -f XXX
less按需加载
less XXX
进入界面后的操作流:
Shift + G 先跳到日志最末尾(因为报错通常发生在最近)。
?XXX 输入问号+要查找的字符串,向上反向搜索。
n:如果当前这行不是关键信息,按 n 继续向上找上一次出现的位置。
Shift + F 如果看着看着,日志又更新了,按这个组合键可以让 less 进入类似 tail -f 的实时滚动模式;按 Ctrl + C 退回浏览模式。
grep搜索文件行
搜索异常关键字,并显示该行 "前后各 20 行"
grep -C 20 "XXX" 文件名
-c (count):只统计匹配的行数
grep -c "XXX" 文件名
搜索当前目录下所有以 log 开头的文件
grep "XXX" log*
-v (invert):显示不包含 "Haha" 的所有行
grep -v "Haha"
sed截取行
语法:sed -n '/开始时间/,/结束时间/p' 源文件 > 目标文件
注意:时间格式必须和日志里的格式完全一致
p 打印模板块的行。
^ 匹配行开始,如:/^sed/匹配所有以sed开头的行
sed -n '/^2025/,/^2026/p' application.log > error_segment.log
awk提取列
我们有时需要分析 Nginx 日志,找出访问量最高的 IP。
1. awk '{print $1}':提取第一列IP
2. sort:排序,把相同的 IP 排在一起
3. uniq -c:去重并统计每个 IP 出现的次数
4. sort -nr:按次数(n)倒序(r)排列
5. head -n 10:取前 10 名
awk '{print $1}' access.log | sort | uniq -c | sort -nr | head -n 10
Nginx 日志中通常记录了响应时间,假设在最后一列,我们想把响应时间超过 1 秒的请求找出来。
$NF 一行的总字段数,代表最后一列
打印所有响应时间大于 1 秒的 URL(假设 URL 在第 7 列)
awk 'NF \> 1.000 {print 7, $NF}' access.log