总有很多朋友问，Linux编程培训班哪家好的问题，千锋教育认为，八仙过海各显神通，各家能在Linux培训行业上屹立不倒，想必各有各的长处，千锋老师在此不多做评价。但是，千锋老师相信，千锋坚持用良心做教育，会收到大家的好评。千锋老师就为大家准备了Linux日志的一些知识点，希望能够对大家有所帮助。

　　Tail命令

　　你也可以将 tail 和 grep 搭配起来使用，以获取文件末尾几行，或者跟踪日志并实时打印。当你在进行交互式更改比如架设服务器或测试代码更改的时候，非常有用。

　　$ tail -f /var/log/auth.log | grep 'Invalid user'

　　Apr 30 19:49:48 ip-172-31-11-241 sshd[6512]: Invalid user ubnt from 219.140.64.136

　　Apr 30 19:49:49 ip-172-31-11-241 sshd[6514]: Invalid user; admin from 219.140.64.136

　　全面介绍 grep 和正则表达式超出了本文的范围，Ryan 的教程里有更深入的介绍。

　　日志管理系统中有更高效更强大的搜索工具。它们通常对数据建立索引和并行查询，因此你可以在数秒之内快速查询高达 G 字节或 T 字节的日志。相比之下，用 grep ，可能要花几分钟，极端情况下会花费数小时。日志管理系统也像 Lucene (译注：一个开源的全文检索引擎工具包)一样使用查询语言 ，它为数字，字段等的搜索提供了简单的语法。

　　用Cut，AWK 和 Grok 解析日志

　　命令行工具

　　Linux 提供了几种文本解析和分析的命令行工具。如果你想快速解析少量的数据，它们很强大，但是处理大量数据要花很长时间。

　　Cut 命令

　　cut 命令可以从带分隔符的日志中解析字段。分隔符是类似等号或逗号的字符，用来划分字段或键值对。

　　比如说，我们想从这个日志中提取用户名：

　　pam_unix(su:auth): authentication failure; logname=hoover uid=1000 euid=0 tty=/dev/pts/0 ruser=hoover rhost= user=root

　　我们可以和下面一样使用 cut 命令，获取第八个等号后边的文本。这是 Ubuntu 上的例子：

　　$ grep "authentication failure" /var/log/auth.log | cut -d '=' -f 8

　　root

　　hoover

　　root

　　nagios

　　nagios

　　AWK 命令

　　此外，你还可以用 awk，它拥有更强的解析字段的功能。它提供了一个脚本语言，让你几乎可以过滤出任何毫不相关的信息。

　　举个例子，假设我们在 Ubuntu 上有如下的日志，我们想提取登陆失败的用户名：

　　Mar 24 08:28:18 ip-172-31-11-241 sshd[32701]: input_userauth_request: invalid user guest [preauth]

　　下面是使用 awk 的例子。首先，用一个正则表达式 /sshd.*invalid user/ 匹配 sshd 无效用户的那一行。然后使用 { print $9 } 打印第九个字段(默认的分隔符是空格)。这样就输出了用户名。

　　$ awk '/sshd.*invalid user/ { print $9 }' /var/log/auth.log

　　guest

　　admin

　　info

　　test

　　ubnt

　　你可以从 Awk 用户指南中获取更多关于如何使用正则表达式和打印字段的信息。