用 Linux 系统时，是不是常遇到 “服务起不来”“登录失败”“网站打不开” 的难题？实则不用慌，系统早把 “故障线索” 藏在日志文件里了！今天用大白话给大家讲清楚，哪些日志最关键，遇到问题该查啥～

先记个小常识：Linux 的重大日志基本都在 /var/log/ 文件夹里，就像系统的 “日记本”，不管是硬件出问题、有人登录服务器，还是软件跑崩了，都会在这里记一笔。

1. 系统出问题？先查这 3 个 “核心日记”

• /var/log/messages：系统的 “大总管日记”，除了安全和内核的事，其他列如软件启动失败、U 盘插不上、内存不够用，基本都记在这里。列如打印机连不上、某个软件打不开，先搜这个文件准没错。
• /var/log/kern.log：内核的 “专属日记”，只记和系统底层相关的事。列如电脑蓝屏、显卡驱动不兼容、硬盘读写变慢，找它就对了，能直接看到硬件和内核的报错。
• /var/log/boot.log：系统 “开机日记”，记录从开机到进入桌面的全过程。如果开机卡在某一步，或者开机后网络连不上，查它就能知道是哪个服务启动失败了。

2. 担心服务器被入侵？盯紧这几个 “安全日记”

• /var/log/secure（CentOS）或 /var/log/auth.log（Ubuntu）：系统的 “保安日记”，谁登录了、登录成功没、用 sudo 提权做了啥，都记得明清楚白。怀疑有人暴力破解密码，搜 “Failed password” 就能看到可疑 IP；想查谁用 root 权限操作过，搜 “sudo” 就行。
• 用命令查登录记录：不用手动翻文件，输 last 能看谁成功登录过，输 lastb 能看所有失败的登录尝试，有没有恶意破解一眼就懂。

3. 服务跑崩了？对应日志直接找缘由

• 网站打不开：如果用的是 Apache 或 Nginx 服务器，日志在 /var/log/httpd/ 或 /var/log/nginx/ 里。access.log 记谁访问了网站、访问了啥；error.log 记网站出错的缘由，列如配置错了、文件找不到。
• 数据库连不上：MySQL/MariaDB 的日志在 /var/log/mysql/ ，error.log 会告知你数据库启动失败的缘由，列如端口被占、密码错了；如果查询变慢，还能看 slow.log ，找出拖慢速度的 SQL 语句。
• 定时任务没执行：列如每天的备份脚本没跑，查 /var/log/cron ，能看到任务执行成功没，失败的话是路径错了还是没权限。

4. 小白也会的日志查看技巧

• 实时看日志：输 tail -f 日志文件路径 ，列如 tail -f /var/log/messages ，能实时看到新记录，适合监控正在发生的问题。
• 搜关键词：输 grep “关键词” 日志文件 ，列如 grep “错误” /var/log/nginx/error.log ，快速找到相关记录，不用翻整份文件。
• 看旧日志：有些日志会被压缩成 .gz 文件，用 zcat 文件名 就能打开看。

实则 Linux 日志没那么复杂，记住 “哪个功能出问题，就找对应日志” 的逻辑，不管是系统故障、安全隐患，还是软件问题，都能快速找到线索。收藏这篇，下次遇到问题不用再到处问啦！