grep高效日志分析需分步聚焦:先用高唯一性字段缩小范围再精筛,或关系用-e或-e,上下文用-a/-b/-c,大日志先按时间切片再搜索。
Linux 日志分析离不开 grep,它不是万能的,但用对了能省下大半排查时间。关键不在命令多复杂,而在逻辑是否清晰、范围是否收得准。
按多个关键词“且”的关系筛选
比如查某次订单失败,既要含 order_id=12345,又要含 status=failed,两者必须同时出现:
- 用管道串联:`grep "order_id=12345" app.log | grep "status=failed"`
- 先缩小范围再精筛,比一次性写长正则更稳、更易调试
- 如果顺序颠倒(比如先搜
status=failed),可能因匹配行太多而拖慢速度,建议从唯一性高的字段入手
按多个关键词“或”的关系筛选
查几种可能的错误类型,只要命中任意一个就算数:
- 必须加
-E(扩展正则):`grep -E "timeout|connection refused|Connection reset" app.log` - 不加
-E直接写"a|b"是无效的,会当成字面量搜索字符串a|b - 也可用多个
-e:`grep -e "timeout" -e "refused" -e "reset" app.log`,效果等价,适合脚本中动态拼接
查完关键字,顺带看上下文
单看一行日志往往信息不足,需要前后几行辅助判断:
- 显示匹配行及后 3 行:`grep -A 3 "ERROR" app.log`
- 显示匹配行及前 2 行:`grep -B 2 "panic" app.log`
- 前后各 3 行:`grep -C 3 "OOM" app.log`(
-C等价于--context) - 配合
-n显示行号,方便定位原始位置:`grep -n -C 2 "500" access.log`
结合时间范围快速聚焦
日志量大时,先按时间段切片再搜索,效率更高:
- 用
sed提取某一时段(如 14:00–14:10):`sed -n '/14:00:/,/14:10:/p' app.log | grep "exception"` - 确保时间格式真实存在于日志中,否则
sed区间匹配会失效;可先 `grep "14:05:" app.log | head -3` 验证 - 若日志是轮转文件(如
app.log.1、app.log.2.gz),记得解压后处理或用zgrep
不复杂但容易忽略——真正高效的日志筛选,靠的不是堆参数,而是分步收口、逐层聚焦。
