linux日志管理命令

任敏

读取和查找日志文件。

我们可以借助Power Shell命令行直接查看系统中保存的所有日志文件。以管理员身份启动Powe r Sh e l l，输入“Wev tUtil el”命令并回车(每个命令都需要回车确认，下同)，就可以查看本机的所有日志文件。继续执行“Wev tUtil el |measure-object”命令，还可以统计日志总数(图2)。

有时候，我们需要从很多日志文件中找到指定的日志，尤其是日志大类下没有方框的小类。例如，当系统出现故障时，您应该从“系统”日志框中的“错误”日志中查找错误原因。假设故障发生在2021年9月1日之后，以管理员身份启动Power Shell，执行命令“Get-E V E N T L O G-L O G N A M E S Y S T E M-Entry Type Error-After 2021-09-01”，可以查看该日期之后的所有错误日志(图3)。

命令解释:

这里的“系统”对应图1中的“win Win d ows日志→系统”和“错误”，图1右窗格中的“错误”和“-After”表示指定日期之后的日志。如果您需要查看其他日期之后的日志，请自行更改命令中的相关参数。

从图3中可以看出，默认情况下保存了许多日志内容。如果系统故障是最近发生的，我们可以直接查看最近记录的日志文件。例如，通过执行命令“Get-Event Log-Logname System-Entry Type Error-Newest 5”(数字5可以随意修改)，我们可以查询最近记录的5条日志(图4)。备份和删除日志文件。

大量的旧日志文件也会占用过多的system 空空间，我们也可以使用PowerShell来备份和删除不必要的日志文件。

以管理员身份启动power rsh El，并执行“get-eventlog -list”命令。在立即打开的返回结果界面中，“M a x(K)”表示日志占用的最大值空“E n t r I E s”表示保存的日志数。例如，在作者的计算机中，“安全”日志包含33，026条记录(图5)。

如果你的电脑最近没有出现S e c u r i t y问题，可以删除“安全”日志，在上面的窗口中执行“We V T U T I L C L Security/BU :D:\ Security _ back . evtx”命令(如果要备份和清除其他日志，只需替换“安全”代码即可)。即可以先将当前系统中的“Sec ur i t y”日志备份到“d: \ security _ back.evtx”，然后在事件查看器中删除所有的“安全日志”。操作完成后，打开事件查看器，可以看到安全日志中只保留了一条日志清除记录(图6)。如果以后想查看刚刚备份的日志，只需双击“D: \ security _ back.evtx”，打开事件查看器，然后展开“保存的日志→安全性”。

上述命令只删除某一类别的日志文件。如果要删除本机保存的所有日志文件，只需执行命令“Get-Win Event-List Log *-Force | % { wevtutil . exe CL $ _。Logname}”(图7)。但是，有些日志文件需要系统帐户权限才能删除。对于那些无法删除的日志，我们可以在psexec.exe的帮助下启动事件查看器，然后根据图7所示窗口中显示的不可删除日志的名称，在事件查看器中找到相应的日志，点击右键，选择清除日志(图8)。