Ubuntu less +F：实时日志查看（新手也能轻松掌握的Linux日志监控技巧）

什么是 less +F？

less 是 Linux 中一个非常强大的文本查看工具，相比 cat 或 more，它支持向前/向后翻页、搜索、高亮等功能。

当你在 less 后面加上 +F 参数（注意是大写的 F），它会自动进入“跟随模式”（follow mode），类似于 tail -f，但功能更强大——你可以在需要时随时暂停实时刷新，进行搜索或滚动查看历史内容，然后再恢复实时跟踪。

为什么选择 less +F 而不是 tail -f？

• 可交互性强：在 less +F 模式下，你可以按 Ctrl+C 暂停实时刷新，然后自由上下滚动、搜索关键字；而 tail -f 一旦运行就只能看最新内容，无法回溯。
• 支持搜索：暂停后按 / 输入关键词即可搜索整个日志文件。
• 内存效率高：即使日志文件很大，less 也不会一次性加载全部内容，而是按需读取。

实战：使用 less +F 查看实时日志

假设你想实时监控 Nginx 的访问日志，通常路径为 /var/log/nginx/access.log。操作步骤如下：

sudo less +F /var/log/nginx/access.log

执行后，你会看到日志末尾的内容，并且终端会持续显示新写入的日志行，就像这样：

192.168.1.100 - - [01/Jan/2024:10:00:01 +0800] "GET /index.html HTTP/1.1" 200 1234192.168.1.101 - - [01/Jan/2024:10:00:02 +0800] "POST /login HTTP/1.1" 302 567...（持续刷新）

常用操作快捷键

• Ctrl + C：暂停实时刷新，进入普通 less 模式，可自由滚动或搜索。
• F（大写）：在普通模式下按 Shift+F 可重新进入跟随模式。
• /关键词：在暂停状态下输入 /error 可搜索包含 “error” 的行。
• q：退出 less。

常见问题与技巧

Q：日志文件被轮转（logrotate）后，less +F 还能继续跟踪吗？

A：默认情况下不能。因为 logrotate 会重命名旧日志并创建新文件，而 less +F 仍然指向旧文件描述符。此时你需要按 Ctrl+C 退出跟随模式，然后按 :e 新文件名 重新打开新日志文件，再按 Shift+F 继续跟踪。

Q：能否同时监控多个日志文件？

A：less +F 一次只能监控一个文件。如需多文件，可使用 multitail 工具，或在多个终端窗口分别运行 less +F。

总结

通过本文，你应该已经掌握了如何使用 Ubuntu less +F 进行高效的实时日志查看。这项技能对于系统管理员、开发者和 DevOps 工程师来说非常实用，不仅能提升排错效率，还能让你在处理大型日志文件时游刃有余。

记住：当需要Linux日志监控时，不要只依赖 tail -f，试试更强大的 less +F 吧！如果你是初学者，这篇less命令教程希望能帮你迈出高效运维的第一步。

小贴士：在生产环境中操作日志前，请确保你有足够权限（通常需 sudo），并避免直接编辑正在被写入的日志文件。