RockyLinux日志分析排查技巧（新手也能掌握的Linux系统日志查看与故障诊断方法）

一、RockyLinux日志存储位置

RockyLinux（基于 RHEL/CentOS）默认使用 rsyslog 或 journald（systemd 日志服务）来管理系统日志。主要日志文件存放在 /var/log/ 目录下：

• /var/log/messages：系统全局日志，包含内核、服务等通用信息（适用于传统 syslog）
• /var/log/secure：记录用户登录、SSH 认证等安全相关事件
• /var/log/maillog：邮件服务日志
• /var/log/cron：计划任务（crontab）执行日志
• /var/log/dmesg：内核环形缓冲区消息，常用于硬件或驱动问题排查
• /var/log/journal/：如果启用了 systemd-journald，二进制日志会存于此（需用 journalctl 查看）

二、常用日志查看命令

掌握以下命令，是进行 RockyLinux系统日志 分析的基础：

1. 使用 tail 实时监控日志

# 实时查看 /var/log/messages 最新内容sudo tail -f /var/log/messages# 查看最后 50 行sudo tail -n 50 /var/log/secure

2. 使用 grep 过滤关键词

# 查找所有 SSH 登录失败记录sudo grep "Failed password" /var/log/secure# 忽略大小写搜索 "error"sudo grep -i "error" /var/log/messages

3. 使用 journalctl（systemd 日志工具）

如果你的 RockyLinux 启用了 systemd-journald（默认启用），推荐使用 journalctl，功能更强大：

# 查看全部日志sudo journalctl# 查看本次启动以来的日志sudo journalctl -b# 实时跟踪日志（类似 tail -f）sudo journalctl -f# 查看某个服务的日志，例如 sshdsudo journalctl -u sshd# 查看最近 1 小时的日志sudo journalctl --since "1 hour ago"

三、典型故障排查场景

场景1：无法 SSH 登录服务器

首先检查 /var/log/secure：

sudo grep "sshd" /var/log/secure | tail -n 20

常见错误包括：密码错误、密钥认证失败、IP 被防火墙阻止等。

场景2：服务启动失败

假设你的 Web 服务（如 httpd）启动失败：

# 先尝试启动服务sudo systemctl start httpd# 如果失败，立即查看日志sudo journalctl -u httpd --since "5 minutes ago"

日志中通常会明确提示端口占用、配置文件错误或权限问题。

四、日志轮转与清理

日志文件会不断增长，需定期轮转（rotate）和清理，避免占满磁盘。RockyLinux 默认使用 logrotate 工具管理。

配置文件位于 /etc/logrotate.conf 和 /etc/logrotate.d/ 目录下。例如，查看 messages 的轮转规则：

cat /etc/logrotate.d/syslog

你可以手动触发轮转测试：

sudo logrotate -f /etc/logrotate.conf

五、总结

通过掌握 RockyLinux日志分析 和 Linux日志查看技巧，你可以快速定位系统异常、服务故障或安全事件。记住几个关键点：

• 日志主目录： /var/log/
• 实时监控用 tail -f
• 关键词过滤用 grep
• 现代系统优先使用 journalctl
• 定期检查日志大小，防止磁盘爆满

希望这篇教程能帮助你建立起对 RockyLinux日志排查 的信心！多练习几次，你也能成为日志分析高手。