运维linux日志面试题及参考答案

目录

列举 Linux 系统中常见的日志文件及其作用（至少 5 个）

如何查看系统启动时的日志信息

/var/log/secure 和 /var/log/auth.log 的区别是什么

如何配置 rsyslog 将特定服务的日志输出到独立文件

解释 /etc/logrotate.conf 的作用及常见配置项

用 sed 提取日志中特定时间范围内的内容（如 10:00 到 11:00）

如何通过 zgrep 直接搜索压缩的日志文件（如.gz 格式）？

使用 find 命令清理 7 天前的日志文件

解释 journalctl -u sshd --since "2023-01-01" 的作用

如何用 cut 命令提取日志中第 2 列（以空格分隔）的数据？

使用 sort 和 uniq 统计日志中访问量最高的前 10 个 IP 地址

如何用 tail -f 实时监控日志并过滤关键词

解释 multitail 工具的优势及基本用法

如何将日志中的时间戳转换为可读格式（如 date -d @timestamp）

使用 awk 计算日志中某字段（如响应时间）的平均值

如何通过 systemd 的 journalctl 动态追踪服务日志

使用 tail -f 结合管道实时统计错误日志的频次

如何通过 inotifywait 监控日志文件的变化并触发脚本

解释 logwatch 工具的作用及配置方法

使用 nc 或 socat 实现跨服务器日志集中收集

发现磁盘空间不足，如何快速定位是哪个日志文件过大

如何排查 “Too many open files” 错误相关的日志

日志中出现 “Connection refused” 可能的原因有哪些

如何通过日志分析 HTTP 500 错误的根本原因

解释 dmesg 日志的作用及常见分析场景

如何从日志中检测暴力破解 SSH 登录的尝试

日志中大量 “TIME_WAIT” 状态的连接如何分析

如何通过日志判断数据库连接池泄漏

日志轮转导致服务无法写入日志时，如何快速修复

如何在不解压的情况下搜索.gz 压缩日志中的关键词

使用 tar 归档并压缩某目录下的所有日志文件

如何按日期拆分日志文件并自动压缩（如使用 logrotate）

解释 zcat、zless、zgrep 的区别及适用场景

如何通过 split 命令分割超大日志文件以便传输

如何通过日志分析检测可疑的 sudo 提权操作

解释 /var/log/audit/audit.log 的作用及关键字段

如何通过日志追踪某用户的历史操作（如 last、history）

列举 Linux 系统中常见的日志文件及其作用（至少 5 个）

• /var/log/messages：这是系统的通用日志文件，记录了系统启动过程、服务启动和停止、系统错误、内核消息等大量重要信息。例如，当系统出现硬件故障、软件崩溃或网络问题时，相关的错误信息通常会记录在这个文件中，有助于排查系统的各种问