一、前言

我们大家应该都知道如何在 Linux 中查看文件，比如可以使用 cat 或者 less 命令。
这对于查看静态文件来说是可以的；日志文件是动态的，其内容随时会变化，要监测日志文件，需要在日志文件内容改变时也能实时看到。

二、普通日志查看

那么如何实时查看日志文件呢？tail 命令是可以的，除此以外，还有其他的一些工具，本文将会介绍这些可以实时查看日志文件的工具。

1、使用 tail 命令查看日志文件

tail 命令使用非常广泛，因此系统管理员经常使用口头禅 tail the log file（即：tail 日志文件）。
大多数情况下，tail 命令用于查看文件末尾的内容，因此才会被命名为 tail。
使用 -f 选项可以跟踪文件末尾的内容，这表示它会持续显示被新添加到文件中的内容。

tail -f location_of_log_file

要停止跟踪日志文件，可以使用 ctrl +c 快捷键。

tail 和 grep

如上所述，tail 命令可以实时查看文件内容的变化。但是，当文件内容更新特别快速的时候，刚刚更新的内容一闪而过，这种情况下，查看起来就不那么方便了。
比如，我们在跟踪日志文件的时候，经常会监视某个特定的术语（字符串），在快速更新的大量内容中跟踪，非常不方便。
为了解决这个问题，我们可以将 tail 和 grep 命令结合起来使用。如下所示：

tail -f log_file | grep search_term

使用 grep 展示搜索词，显示的信息比较有限，它只显示检索结果，因此我们经常使用 -C 选项来显示检索结果的前后几行：

tail -f log_file | grep -C 3 search_term

这样，我们就能看到检索结果相关的前后几行信息，可以更好的跟踪日志信息。
还想再改进一些吗？可以对多个搜索项使用 grep，然后不区分大小写：

tail -f log_file | grep -C 3 -i - E 'search_term_1|search_term_2'

使用日志轮转（log rotation）跟踪日志
大多数企业服务器，日志都会轮转（rotation），即当日志文件达到一定大小后，就会重命名并压缩。
如果实时跟踪日志文件，则会产生问题。默认情况下，tail 命令用于文件描述符。如果当前日志文件被旋转，tail 命令现在将指向一个存档日志文件，该文件现在不会记录任何更改。
解决方案是按照日志文件的名称跟踪日志文件。这样，即使发生日志旋转，尾部也将指向当前日志文件（因为其名称从未更改）。

tail --follow=name log_file | grep -C 3 -i - E 'search_term_1|search_term_2'

tail 非常适合实时监控日志文件，但上述方法只监控一个日志文件。如果要监控多个日志文件该怎么办呢？

使用 tail 查看多个日志文件
在 Linux 系统中工作，可以使用 tail 命令同时监视多个日志文件，只需要提供文件的路径：

tail -f log_file_1 -f log_file_2

上述命令，你将会实时看到日志文件的更新，并且在前面会带有文件名，以区分不同的日志文件：

除了上述方法，还有另外一种更方便的方式，就是使用一个名为 multitail 的工具。

2、使用 multitail 同时监视多个日志文件

顾名思义，multitail 用于同时显示多个文件。
既然 tail 可以同时监视多个文件，那么 multitail 有什么特别的地方呢？
multitail 的优点在于，它可以在拆分视图中显示文件，甚至可以在不同的行和列中显示不同的文件。
tail 在同一视图中显示所有内容，所以有时候很难跟踪，multitail 通过提供类似 screen 命令的分割视图来克服了这一困难。
注意，multitail 在大多数Linux系统中没有被默认安装，所以在使用前需要先手动安装。
在 multitail 命令后跟文件路径，最好一次不要超过3个，因为超过3个或以上，跟踪起来就比较困难了。

multitail log_file_1 log_file_2

默认情况下，multitail 的工作方式与 tail -f 相同，它显示最后100行，然后进入实时监视视图；另外，它按行来拆分视图。
你可以按 b 键打开一个文件选择窗口，选择某个日志文件查看，以做进一步分析。
分割视图使用 -s 选项，后面跟一个数字，即视图的数量：

multitail -s 2 log_file_1 log_file_2

按 q 键可退出 multitail 所有的视图。
multitail 可以做的还有很多，大家感兴趣可以查看一下它的官方文档，本文就不继续介绍了。

3、使用 less 命令实时查看日志文件

less 命令多用于读取文本文件，也可用于读取实时被更改的文件。
选项 +F 可以实时跟踪文件的更改：

less +F log_file

上述命令会打开日志文件，并实时显示正在写入的更改。
按 ctrl +c 中断显示，按 q 会退出视图。
与 tail 命令不同，此方法可以让我们快速查看日志的更改，而不会使屏幕混乱。
上述监视日志的方法适用于传统的基于文本的日志文件。

三、查看系统日志 journalctl 命令

对于系统日志，可以使用 syslogs，但是现在许多 Linux 发行版已经开始使用 journal 日志来查看和分析日志，所以需要使用 journalctl 命令。
journalctl可以查看所有的系统日志文件，由于日志信息量很大，journalctl还提供了各种参数帮助用户更快速的定位到日志信息。
默认情况下，用户都可以访问自己的日志。对于系统主日志和其他用户的日志，仅限于有权限的用户访问，比如root用户，wheel组和systemd组的用户。
如果日志比较长，我们可以通过上下左右键盘键查看。

journalctl

如果不带参数，journalctl将显示所有的信息。（从旧到新）

journalctl -r
-r参数表示反序输出，（从新到旧）

journalctl -f

要使用 journalctl 跟踪日志文件 (读取最新条目), 只需在命令后加参数 “-f” 即可。会实时输出最新日志

journalctl -n 数字

指定输出显示的大小
我们可以通过-n 或者 --lines=参数来指定显示的行数大小。

显示指定时间的事件日志
journalctl可以显示指定时间段内发生的事件日志。

通过since和until 参数来实现。其中日期的格式是“YYYY-MM-DD HH:MM:SS”
比如：journalctl --since 1 hour ago ，查看1小时前到现在的日志
journalctl --since “2016-08-04 20:00:00” --until “2016-08-04 20:15:00” 查看8月4日晚上的日志