「如何使用Linux按日期查看日志？」 (linux按日期查日志)

如何使用Linux按日期查看日志？

随着计算机技术的发展，操作系统也越来越多样化。其中，Linux系统由于其开源、稳定、安全的特点，被越来越多的人所青睐。作为一名Linux使用者，我们时常需要查看系统日志以便排除一些问题或者调试。本文将为大家介绍如何按日期查看Linux系统日志。

一、查看系统日志的基本命令

在Linux系统中，使用以下命令可以查看系统日志：

“`bash

$ dmesg # 查看内核日志

$ tl -f /var/log/messages # 查看系统所有日志

$ tl -f /var/log/syslog # 查看系统日志

$ tl -f /var/log/auth.log # 查看认证日志

$ tl -f /var/log/secure # 查看安全日志

$ journalctl # 查看systemd的日志

“`

使用以上命令可查看系统日志。但有时系统日志千奇百怪，我们需要查看某一特定日期的日志，就需要用到date命令。

二、date命令的使用

date命令是Linux中用来显示和设置系统时间与日期的命令，使用简单，并且非常实用。下面是date命令的一些常见用法：

1. 显示当前日期和时间

“`bash

$ date

“`

该命令会显示出当前日期和时间，输出格式如下所示：

“`bash

Sun May 16 15:28:20 CST 2023

“`

输出结果从左到右分别是：星期几、月份、日期、时间、时区和年份。

2. 显示特定格式日期和时间

“`bash

$ date ‘+%Y-%m-%d %H:%M:%S’

“`

上述命令将当前日期和时间以自定义的格式显示出来，这个格式是「年-月-日 时:分:秒」，如果需要其他格式可以根据需求进行修改。

3. 根据特定格式获取指定时间

“`bash

$ date -d “2023-05-16 15:00:00” “+%s”

“`

该命令将特定的时间格式化成秒数，可以与日志文件中的时间戳进行比较。

三、查看特定日期的日志

使用date命令获取日期后，我们就可以对系统日志进行过滤，只查询特定日期的所有日志。下面我们来看看在Linux中查看特定日期的日志都有哪些命令。

1. grep命令

使用grep命令可以排除或者搜索日志文件。

“`bash

$ grep “May 16” /var/log/syslog

“`

该命令将过滤出/var/log/syslog文件中所有日期为May 16的日志。

2. sed命令

使用sed命令可以替换和删除文件中的某些行。

“`bash

$ sed -n ‘/May 16/p’ /var/log/syslog

“`

该命令将只显示/var/log/syslog文件中日期为May 16的日志。

3. awk命令

使用awk命令可以按照特定的分隔符分离文件中的行，处理后输出特定格式的行。

“`bash

$ awk ‘/May 16/’ /var/log/syslog

“`

该命令将只显示/var/log/syslog文件中日期为May 16的日志。

4. find命令

使用find命令可以找到符合条件的文件。

“`bash

$ find /var/log/ -name “*May 16*”

“`

该命令将查找/var/log/目录下所有名字中包含May 16的文件。

四、

Linux是一门强大的操作系统，对于系统管理员，查看日志是非常重要的事情，能有效帮助他们排除故障。本文介绍了如何使用date命令来查询指定日期的日志，并且提供了几个常用的命令，可以帮助大家更快地找到自己需要的日志。在实际应用中，可以根据实际需求来选择相应的命令，如此便可高效地查看日志，从而更好地保障系统的稳定性。

相关问题拓展阅读：

• 怎样查看linux系统日志
• 如何实时查看linux下的日志

怎样查看linux系统日志

1、Linux下重要日志文件介绍

/var/log/boot.log

该文件记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息，如图1所示：

图1 /var/log/boot.log示意

/var/log/cron

该日志文件记录crontab守护进程crond所派生的子进程的动作，前面加上用户、登录时间和PID，以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见情况。REPLACE(替换)动作记录用户对它的cron文件的更新，该文件列出了要周期性执行的任务调度。RELOAD动作在REPLACE动作后不久发生，这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查到一些反常的情况。该文件的示意请见图2：

图2 /var/log/cron文件示意

/var/log/maillog

该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。图3所示是该日志文件的片段：

图3 /var/log/maillog文件示意

该拿运慎文件的格式是每一行包含日期、主机名、程序名，后面是包含PID或内核标识的方括号、一个冒号和一个空格，最后是消息。该文件有一个不足，就是被记录的入侵企图和成功的入侵事件，被淹没在大量的正常进程的记录中。但该文件可以由/etc/syslog文件进行定制。由/etc/syslog.conf配置文件决定系统如何写入/var/messages。

/var/log/syslog

默认Fedora不生成该日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log/messages日志文件不同，它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件。要让系统生成该日志文件，在/etc/syslog.conf文件中加上：*.warning /悄核var/log/syslog 该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。该日志文件记录最近成功登录的事件和最后一次不成功的登录事件，由login生成。在每次用户登录时被查询，该文件是二进制文件，需要使用lastlog命令查看，根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过，就显示为”**Never logged in**”。该命令只能以root权限执行。简单地输入lastlog命令后就会看到类似图4的信息：

图4 lastlog命令的运行结果

/var/log/wtmp

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录，last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端tty或时间显示相应的记录。

/var/run/utmp

该日志文件记录有关当前登录的每个用户的信息。因此这个文件会随着用户登录和注销系统而不断变化，它只保留当时联机的用户记录，不会为用户保留永久的记录。系统中需要查询当前用户状态的程序，如 who、w、users、finger等就需要访问这个文件。该日志文件并不能包括所有精确的信息，因为某些突发错误会终止用户登录会话，而系统没有及时更新 utmp记录，因此该日志文件的记录不是百分之百值得信赖的。

以上提及的3个文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系统的关键文件，都记录了用户登录的情况。这些文件的所有记录都包含了时间戳。这些文件是按二进制保存的，故不能用less、cat之类的命令直接查看这些文件，而是需要使用相关命令通过这些文件而查看。其中，utmp和wtmp文件的数据结构是一样的，而lastlog文件则使用另外的数据结构，关于它们的具体的数据结构可以使用man命令查询。

每次有一个用户登录时，login程序在文件lastlog中查看用户的UID。如果存在，则把用户上次登录、注销时间和主机名写到标准输出中，然后login程序在lastlog中记录新的登录时间，打开utmp文件并插入用户的utmp记录。该记录一直用到用户登录退出时删除。utmp文件被各种命令使用，消敬包括who、w、users和finger。

下一步，login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时，具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last使用。

/var/log/xferlog

该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序，以及该用户拷贝了哪些文件供他使用。

该文件的格式为：之一个域是日期和时间，第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型(a：ASCII，b：二进制)、与压缩相关的标志或tar，或”_”(如果没有压缩的话)、传输方向(相对于服务器而言：i代表进，o代表出)、访问模式(a：匿名，g：输入口令，r：真实用户)、用户名、服务名(通常是ftp)、认证方法(l：RFC931，或0)，认证用户的ID或”*”。图5是该文件的部分显示：

图5 /var/log/xferlog文件示意

2、Linux日志输出查看方式

Linux下面提供了许多文本工具来查看和处理日志文件，下面给读者提供一些比较常见和有用的工具。

dmesg

使用dmesg命令可以快速查看最后一次系统引导的引导日志。如图6所示：

图6 dmesg显示结果

如上所示，通常它的内容会很多，所以我们往往使用如下命令以分页的方式显示引导信息，如图7所示：

# dmesg | more

<img src="

” align=”center”>

图7 dmesg|more命令显示结果

tail

tail命令设计用于显示文本文件的最后几行。使用-f开关，当日志增加新的内容时，tail将继续显示新的输出。如图8所示：

# tar -f /var/log/messages

图8 使用tail查看日志

上面的命令将显示/var/log/messages文件的最后6行，然后继续监控那个文件，并输出新的行为。要停止tail -f命令，使用来中止进程。

more和less

more的工作方式与DOS版本相同。您可以将它指向一个文件，或者通过它以管道输出信息，以分页的方式来查看信息。例如，以分页方式显示maillog日志文件的内容：

# more maillog

图9 使用more查看日志

然后，可以使用q或者来停止查看文件。

less 是另一个文本阅读器，不过它还允许在文件中滚动浏览以及检索信息。如下所示：

# less /var/log/cron

图9 使用less命令查看日志

上面的命令将显示/var/log/yum.log文件的内容，可以使用q来停止查看文件。

其他方式

如何实时查看linux下的日志

#cd /var/log/messages (linux日志基本上都在var/log里面、如果不是你特意指定的话就在这里)

#less/cat/more/head/awk 这些命带虚扮蠢灶令都行

cat message.log |grep /2023/ |wc -l

#ps -aux | grep httpd | wc -l 也可以用这个日志誉搏分析命令

1.如下图所示，先cd到我们需要监控的日志目录。

2.这里我拆孙州们先使用cat命令查看下日志信息，方便与动态监控进行对比。

3.下面先讲解下tail命令实现查看最后一部分日志的方法。tail 文件名，默认显示最后10行。

4.接着我们把10行的默认值改成显示20行。tail -n 20 文件名

5.通过上面的铺垫，旅蔽我们来看看如何动态监控日志尾部，那就是使用命令：tail -f 文件名，可以从下图看出查看日志后并没有退出，一直在等待刷新日志尾部信息。

6.最后，设置下我们要监控的尾部行数。

扩展资料：

Linux完全兼容POSIX1.0标准

这使得可以在Linux下通过相应的模拟器运行常见的DOS、Windows的程序。这为用户从Windows转到Linux奠定了基础。许多用户在考虑使用Linux时，就想到以前在Windows下常见的程序是否能正常运行，这一点就消除了他们的疑虑。

Linux支持多种平台

Linux可以运行在多种硬件平台上，如具有x86、680×0、SPARC、Alpha等处理器的平台。此外Linux还是一种嵌入式操作系统，可以运行在掌上电脑、机顶盒或游戏机上。2023年1月份发布的Linux 2.4版内核已经能够凯芦完全支持Intel 64位芯片架构。同时Linux也支持多处理器技术。多个处理器同时工作，使系统性能大大提高。

参考资料来源:

百度百科：Linux

查看方式：cat /var/log/*.log

如果日志在更新，实时查看 tail -f /var/log/messages

还可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方，-n表示多少秒刷新一次。

该指令，不会直接返回命令行，而是实时打印日志文件中新增加的内容，这一特性，对于查看日志是非常有效的。如果想终止输出，按 Ctrl+C 即可。

在Linux系统中，有三个主要的日志子系统：

1、连接时间日志–由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。

2、进程统计–由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。

3、错误日志–由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

常用的日志文件如下：

每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然 后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后，utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户 登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。

下一步，login程序打开文件wtmp附加用户的utmp纪录。当用户登录咐扮册退出时，具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

具体命令

wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、缺稿w、users、last和ac来使用这两个文件包含的信息。

who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如：who（回车）显示

如果指明了wtmp文件名，则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。

w：w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如：w（回车）显示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27。

users：users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。例如：users（回车）显示：chyang lewis lewis ylou ynguo ynguo

last：last命令往回搜索wtmp来显示自从文衡宏件之一次创建以来登录过的用户。例如：

ac：ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间（小时），如果不使用标志，则报告总的时间。例如：ac（回车）显示：total 5177.47

lastlog：lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间，并格式化输出上次登录日 志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显 示”**Never logged**。注意需要以root运行该命令，例如：

cat /var/log/*.log

如果日志在更新，如何实时查看 tail -f /var/log/messages

还可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方，-n表示多少秒刷新一次慎游。

该指令，不会直接返回命令行，而是实时打印日志文件中新增加的内容，这一特性，对于查看日志是非常有效的。如果想终止输出，按 Ctrl+C 即可。

在Linux系统中，有三个主要的日志子系统：

　　连接时间日志–由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。

　　进程统计–由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。

　　错误日志–由syslogd（8）执行。各种系薯孝穗统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

　　常用的日志文件如下：

　　access-log纪录HTTP/web的传输

　　acct/pacct纪录用户命令

　　aculog纪录MODEM的活动

　　btmp纪数卜录失败的纪录

　　lastlog　　纪录最近几次成功登录的事件和最后一次不成功的登录

　　messages　　　　从syslog中记录信息（有的链接到syslog文件）系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一

　　sudolog纪录使用sudo发出的命令

　　sulog纪录使用su命令的使用

　　syslog　　　　 从syslog中记录信息（通常链接到messages文件）

　　utmp纪录当前登录的每个用户

　　wtmp一个用户每次登录进入和退出时间的永久纪录

　　xferlog纪录FTP会话

/var/log/secure与安全相关的日志信息

/var/log/maillog 与邮件相关的日志信息

/var/log/cron 与定时任务相关的日志信息

/var/log/spooler 与UUCP和news设备相关的日志信息

/var/log/boot.log 守护进程启动和停止相关的日志消息

　　utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键–保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中；登录进入和退出纪录在文件wtmp中；最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常，wtmp在之一天结束后命名为wtmp.1；第二天后wtmp.1变为wtmp.2等等，直到wtmp.7。

　　每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后，utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。

　　下一步，login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时，具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

　　具体命令

　　wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

　　who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如：who（回车）显示

　　chyang　　　　 pts/0 Aug:06

　　ynguo　　　　 pts/2 Aug:32

　　ynguo　　　　 pts/3 Aug:55

　　lewis　　　　 pts/4 Aug:35

　　ynguo　　　　 pts/7 Aug:12

　　ylou　　　　 pts/8 Aug:15

　　如果指明了wtmp文件名，则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。

　　w：w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如：w（回车）显示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27。

　　USER　　 TTY　　　　FROM　　　　 LOGIN@ IDLE JCPU PCPU　　WHAT

　　chyang pts/0 202.38.68.242　　3:06pm 2:04 0.08s 0.04s -bash

ynguo pts/2 202.38.79.47　　 3:32pm 0.00s 0.14s 0.05　　 w

　　lewis pts/3 202.38.64.233　　1:55pm 30:39 0.27s 0.22s -bash

　　lewis pts/4 202.38.64.233　　1:35pm 6.00s 4.03s 0.01s sh /home/users/

　　ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

　　ylou　　pts/8 202.38.64.235　　2:15pm 1:09m 0.10s 0.04s　　-bash

　　users：users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。例如：users（回车）显示：chyang lewis lewis ylou ynguo ynguo

　last：last命令往回搜索wtmp来显示自从文件之一次创建以来登录过的用户。例如：

　　chyang pts/9　　202.38.68.242 Tue Aug 1 08::23 (02:49)

　　cfan　　pts/6　　202.38.64.224 Tue Aug 1 08::48 (00:14)

　　chyang pts/4　　202.38.68.242 Tue Aug 1 08::13 (03:40)

　　lewis pts/3　　202.38.64.233 Tue Aug 1 08::09 (03:03)

　　lewis pts/2　　202.38.64.233 Tue Aug 1 07::09 (03:12)

　　如果指明了用户，那么last只报告该用户的近期活动，例如：last ynguo（回车）显示：

　　ynguo　　pts/4 simba.nic.ustc.e Fri Aug 4 16::20 (15:30)

　　ynguo　　pts/4 simba.nic.ustc.e Thu Aug 3 23::40 (04:44)

　　ynguo　　pts/11 simba.nic.ustc.e Thu Aug 3 20::02 (01:16)

　　ynguo　　pts/0 simba.nic.ustc.e Thu Aug 3 03::42 (02:25)

　　ynguo　　pts/0 simba.nic.ustc.e Wed Aug 2 01::16 1+02:12)

　　ynguo　　pts/0 simba.nic.ustc.e Wed Aug 2 00::54 (00:11)

　　ynguo　　pts/9 simba.nic.ustc.e Thu Aug 1 20::26 (00:55)

　　ac：ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间（小时），如果不使用标志，则报告总的时间。例如：ac（回车）显示：total 5177.47

　　ac -d（回车）显示每天的总的连结时间

　　Aug 12 total 261.87

　　Aug 13 total 351.39

　　Aug 14 total 396.09

　　Aug 15 total 462.63

　　Aug 16 total 270.45

　　Aug 17 total 104.29

　　Today total 179.00

　　ac -p （回车）显示每个用户的总的连接时间

　　ynguo 193.23

　　yucao 3.35

　　rong 133.40

　　hdai 10.52

　　zjzhu 52.87

　　zqzhou 13.14

　　liangliu 24.34

　　total 5178.22

　　lastlog：lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示”**Never logged**。注意需要以root运行该命令，例如：

　　rong.38.64.Fri Aug 18 15:57:01 +

　　dbb**Never logged in**

　　xinchen**Never logged in**

　　pb **Never logged in**

　　xchen.38.64.Sun Aug 13 10:01:22 +

Linux日志文件在/var/log目录下，可以通过命令查看日志文件。

1，cat messages可以查看某个日志文件。

2，要达到实时更新，可以通改尺过tail命令查看更新的数据，例如tail -f messages。

3，tail命令参数：

-f 循环读取

-q 不显示处理信息

-v 显示详细的处腔携理信息

-c 显示的伍歼伏字节数

-n 显示行数

–pid=PID 与-f合用,表示在进程ID,PID死掉之后结束.

-q, –quiet, –silent 从不输出给出文件名的首部

关于linux按日期查日志的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。