快速定位 systemd 服务启动失败原因应优先使用 journalctl -u --since "2 hours ago" 查看 journal 日志,而非 /var/log/ 下的传统日志,因初始化错误均输出至 journal;配合 -n 100、--no-pager 及 --boot 提升排查效率,并用 grep -a/-b 跨行检索、zgrep 处理压缩日志、journalctl 基于 boot id 查询规避时间不准问题,awk 统计前须校验字段格式。
怎么快速定位 systemd 服务启动失败的真实原因
直接看 journalctl -u <service-name> --since "2 hours ago"</service-name>,别先翻 /var/log/ 下的旧日志。很多服务(比如 nginx、postgresql)在 systemd 管理下根本不会往传统日志路径写启动期错误,所有初始化输出都走 journal。
常见错误现象:systemctl status <service-name></service-name> 显示 failed,但没具体错误;或提示 start request repeated too quickly —— 这其实是前一次启动崩溃后 systemd 拒绝重试,得先查崩溃那轮的日志。
- 加
-n 100多抓几行,避免关键堆栈被截断 - 用
--no-pager避免卡在 less 里,方便管道处理(比如| grep -i "error\|fail") - 如果服务刚改过配置,优先加
--boot查本次开机以来的全部记录,排除残留旧 session 干扰
grep 日志时为什么总漏掉关键行
因为默认不匹配多行模式,而真实错误常跨行:比如 Java 异常堆栈、Python traceback、SQL 错误附带上下文。单纯 grep "Connection refused" 可能只捞到报错行,漏掉前面的连接目标和时间戳。
使用场景:排查数据库连不上、HTTP 调用超时、证书校验失败这类有上下文依赖的错误。
- 用
grep -A 3 -B 2 "Connection refused"向前找 2 行、向后找 3 行 - 对大日志文件,先
zgrep压缩包(.log.gz),别解压再搜——省 IO,也防磁盘打满 - 注意正则转义:
grep "timeout.*500"比grep "timeout.*500ms"更稳,因为日志里单位可能写成ms、msec或省略
日志时间不准导致分析顺序混乱怎么办
系统时间跳变(NTP 同步、虚拟机休眠唤醒)会让日志时间戳倒流或突进,tail -f 实时看会发现新消息插在老记录中间。这时靠时间排序会误判因果。
性能影响:用 sort -k3,3 按第三列时间重排日志,对 GB 级文件极慢,且无法反映真实事件流。
- 优先用
journalctl --since "2024-05-20 14:00:00"这类基于 boot ID 或 monotonic 时间的查询,不受系统时钟影响 - 查传统日志时,加
awk '{print $1,$2,$3,$0}'把原始行前置一个序列号,再按序号排序,比纯靠时间可靠 - 如果必须用时间字段排序,确认日志格式统一:有些服务写
May 20 14:03:22,有些写2024-05-20T14:03:22.123Z,混用sort会乱序
如何用 awk 快速统计高频错误类型
人工扫日志只能盯住显眼词,但真正拖垮服务的可能是每分钟几百次的 "WARN: retrying connection",它不报错也不退出,却让下游超时雪崩。
参数差异:awk '{print $5,$6,$7}' 和 awk '{print $5,$6}' 统计结果可能差十倍——取决于日志格式是否固定。Nginx 默认 $9 是状态码,但加了 log_format 自定义后就可能移位。
- 先用
head -20 /var/log/nginx/error.log | cat -n看字段分隔是否全是空格(有些日志用\t或|) - 统计前加
awk 'NF > 3'过滤空行和 header 行,避免干扰计数 - 高频错误建议导出 Top 10:
awk '/ERROR|CRITICAL/ {print $5,$6}' /var/log/app.log | sort | uniq -c | sort -nr | head -10
复杂点在于日志格式不统一:同一服务不同版本、不同模块、甚至不同 logger 配置,字段位置和内容结构都可能变。别迷信“通用脚本”,每次换环境先 head 两行对齐字段再写 awk。
