tail 是 Linux 中最常用、最实用的日志实时监控命令,核心作用是查看文件末尾内容,并支持动态追踪新增日志——尤其适合调试服务、排查错误或观察运行中的应用输出。
基础用法:看最后几行
默认显示文件末尾 10 行:
tail /var/log/syslog指定行数(比如看最后 50 行):
tail -n 50 /var/log/nginx/access.log也可简写为:
tail -50 /var/log/nginx/access.log实时跟踪:-f 参数是关键
加 -f(follow)后,tail 会持续监听文件末尾,新追加的内容自动滚动显示,相当于“日志直播”:
tail -f /var/log/auth.log常用于监控服务启动、用户登录、SSH 尝试等实时事件。按 Ctrl+C 可退出跟踪。
如果日志轮转(如 logrotate)导致文件被重命名或重建,普通 -f 会停止输出。此时应改用:
tail -F /var/log/myapp.log-F = -f + --retry,能自动检测文件重建并继续跟踪,生产环境更推荐。
进阶技巧:过滤+高亮+多文件
结合 grep 实时筛选关键词(如只看 ERROR):
tail -f /var/log/myapp.log | grep --line-buffered "ERROR"--line-buffered 确保 grep 实时输出,避免因缓冲延迟看不到最新匹配项。
用 less +F 替代 tail -f,支持暂停(Ctrl+S)、搜索(/keyword)、回滚(Ctrl+C 后按 g 或 G),更灵活:
less +F /var/log/messages同时监控多个日志文件(带文件名前缀):
tail -f /var/log/apache2/*.log实用小贴士
- 用 tail -n 0 -f file 从当前结尾开始监听,不显示历史内容
- 终端太小?加 --max-unchanged-stats=10 防止因文件无更新而频繁刷新统计信息(某些版本支持)
- 配合 watch 做周期性快照(非实时,但可对比变化):watch -n 2 'tail -n 10 /tmp/status.log'
- 权限不足时加 sudo,但优先考虑用日志组权限或 journalctl(systemd 系统更安全)
