最简单的语法#

grep "要搜索的内容" 文件名

就这么简单！让我们马上开始实践。

🎯 场景1：找错误日志（最常用）#

假设你的网站出现问题，需要查看错误日志：

# 查找所有包含"ERROR"的行
grep "ERROR" /var/log/app.log

# 结果示例：
# 2025-08-25 10:30:15 ERROR: Database connection failed
# 2025-08-25 11:45:22 ERROR: User authentication timeout

🎯 场景2：不区分大小写搜索#

有时候日志中的错误可能是”Error”、“ERROR”或”error”，用-i一网打尽：

# 查找所有错误，不管大小写
grep -i "error" /var/log/app.log

# 能找到：ERROR、Error、error、ErRoR 等各种写法

🎯 场景3：显示行号（方便定位）#

找到错误后，想知道在文件的第几行？加个-n：

# 显示错误信息和行号
grep -n "ERROR" /var/log/app.log

# 结果示例：
# 1523: 2025-08-25 10:30:15 ERROR: Database connection failed
# 2891: 2025-08-25 11:45:22 ERROR: User authentication timeout

🎯 场景4：查找特定用户的操作#

# 查找用户ID为12345的所有操作记录
grep "user_id=12345" /var/log/access.log

# 查找特定IP地址的访问记录
grep "192.168.1.100" /var/log/nginx/access.log

💡 新手提示#

• 搜索内容用双引号包起来，避免特殊字符问题
• 文件路径要写对，可以用Tab键自动补全
• 如果没有结果，检查文件是否存在或搜索内容是否正确

📋 交互式选项速查表#

下面是一个完整的grep选项速查表，你可以直接在表格中试用各种选项：

📋 必学选项清单#

🔥 实用组合技巧#

# 统计今天有多少个错误
grep -c "ERROR" /var/log/app.log

# 查看错误详情（包含前后3行上下文）
grep -C 3 "Exception" /var/log/app.log

# 查看除了INFO级别以外的所有日志
grep -v "INFO" /var/log/app.log

# 查找错误并显示行号
grep -in "error" /var/log/app.log

🚨 场景1：网站出现500错误，快速排查#

问题：用户反馈网站访问出现500错误

# 第1步：查找所有500错误
grep " 500 " /var/log/nginx/access.log

# 第2步：看看最近的500错误（最后10条）
grep " 500 " /var/log/nginx/access.log | tail -10

# 第3步：统计今天有多少个500错误
grep "$(date '+%d/%b/%Y')" /var/log/nginx/access.log | grep " 500 " | wc -l

# 第4步：查看具体是哪些页面出错
grep " 500 " /var/log/nginx/access.log | grep "$(date '+%d/%b/%Y')"

🔍 场景2：应用程序崩溃，查找异常#

问题：Java应用突然崩溃，需要找到异常信息

# 第1步：查找所有异常（包含堆栈信息）
grep -A 10 "Exception" /var/log/app.log

# 第2步：查找致命错误
grep -i "fatal\|critical" /var/log/app.log

# 第3步：查找内存相关错误
grep -i "memory\|heap\|oom" /var/log/app.log

# 第4步：查看错误发生的时间点
grep -n "Exception" /var/log/app.log | tail -5

👤 场景3：用户登录异常，安全排查#

问题：发现有异常登录尝试，需要排查安全问题

# 第1步：查找失败的登录尝试
grep "Failed password" /var/log/auth.log

# 第2步：查找今天的失败登录
grep "$(date '+%b %d')" /var/log/auth.log | grep "Failed password"

# 第3步：统计失败次数
grep "Failed password" /var/log/auth.log | grep "$(date '+%b %d')" | wc -l

# 第4步：查看是哪些IP在尝试登录
grep "Failed password" /var/log/auth.log | grep "$(date '+%b %d')"

⚡ 场景4：数据库连接问题排查#

问题：应用连接数据库超时，需要找到原因

# 第1步：查找数据库连接错误
grep -i "database\|connection" /var/log/app.log | grep -i "error\|timeout\|failed"

# 第2步：查看连接超时的具体信息
grep -i "connection timeout" /var/log/app.log

# 第3步：查找SQL执行错误
grep -i "sql.*error\|query.*failed" /var/log/app.log

# 第4步：统计数据库错误频率
grep -c "database.*error" /var/log/app.log

📊 场景5：性能监控和分析#

问题：网站响应慢，需要分析性能数据

# 第1步：查找响应时间超过3秒的请求
grep "response_time:[3-9][0-9][0-9][0-9]" /var/log/app.log

# 第2步：查找慢查询
grep -i "slow query" /var/log/mysql/slow.log

# 第3步：查看高CPU使用率告警
grep "CPU" /var/log/system.log | grep -E "[8-9][0-9]%|100%"

# 第4步：分析内存使用情况
grep -i "memory" /var/log/system.log | grep -E "[8-9][0-9]%|100%"

🔗 组合多个条件（管道的威力）#

# 查找同时包含"ERROR"和"database"的行
grep "ERROR" app.log | grep "database"

# 查找包含"ERROR"但排除"timeout"的行
grep "ERROR" app.log | grep -v "timeout"

# 三重过滤：今天的错误日志，但排除INFO级别
grep "2025-08-25" app.log | grep "ERROR" | grep -v "INFO"

# 查找特定时间段的特定用户操作
grep "2025-08-25 14:" app.log | grep "user_id=123" | grep "login"

🎯 正则表达式测试器#

正则表达式是grep的强大功能之一。使用下面的测试器来学习和验证各种正则表达式模式：

🎯 查找特殊格式的内容#

# 查找IP地址（简单版本）
grep -E "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" access.log

# 查找邮箱地址
grep -E "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}" user.log

# 查找手机号（中国11位）
grep -E "1[3-9][0-9]{9}" user.log

# 查找时间格式（YYYY-MM-DD HH:MM:SS）
grep -E "[0-9]{4}-[0-9]{2}-[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}" app.log

🚀 多文件搜索#

# 在多个日志文件中搜索
grep "ERROR" /var/log/*.log

# 在所有子目录的日志文件中搜索
grep -r "ERROR" /var/log/

# 只在特定类型的文件中搜索
grep --include="*.log" -r "ERROR" /var/log/

# 显示文件名
grep -H "ERROR" /var/log/*.log

💡 实用小技巧#

# 搜索结果高亮显示
grep --color=always "ERROR" app.log

# 只显示匹配的部分（不显示整行）
grep -o "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" access.log

# 搜索多个关键词（任意一个匹配即可）
grep -E "ERROR|WARN|FATAL" app.log

# 忽略空行
grep -v "^$" app.log

🔄 实时监控日志（最实用）#

# 实时监控错误日志（彩色显示）
tail -f /var/log/app.log | grep --color=always "ERROR\|WARN\|FATAL"

# 监控特定用户的实时活动
tail -f /var/log/access.log | grep "user_id=12345"

# 监控数据库连接问题
tail -f /var/log/app.log | grep -i "database\|connection"

# 监控登录活动
tail -f /var/log/auth.log | grep "login\|password"

📊 简单的监控脚本#

创建一个简单的错误监控脚本：

#!/bin/bash
# 保存为 check_errors.sh

LOG_FILE="/var/log/app.log"

# 统计各种错误数量
ERROR_COUNT=$(grep -c "ERROR" "$LOG_FILE")
WARN_COUNT=$(grep -c "WARN" "$LOG_FILE")
FATAL_COUNT=$(grep -c "FATAL" "$LOG_FILE")

echo "=== 今日日志统计 ==="
echo "错误(ERROR): $ERROR_COUNT 条"
echo "警告(WARN): $WARN_COUNT 条"
echo "致命(FATAL): $FATAL_COUNT 条"

# 如果有致命错误，显示详情
if [ "$FATAL_COUNT" -gt 0 ]; then
    echo ""
    echo "⚠️  发现致命错误，最近5条："
    grep "FATAL" "$LOG_FILE" | tail -5
fi

# 如果错误太多，发出警告
if [ "$ERROR_COUNT" -gt 100 ]; then
    echo ""
    echo "🚨 错误数量过多，请检查系统状态！"
fi

使用方法：

# 给脚本执行权限
chmod +x check_errors.sh

# 运行脚本
./check_errors.sh

# 设置定时任务（每小时检查一次）
# 编辑 crontab: crontab -e
# 添加这行：0 * * * * /path/to/check_errors.sh

🎯 常用的一键命令#

# 查看今天的错误总结
grep "$(date '+%Y-%m-%d')" /var/log/app.log | grep -E "ERROR|WARN|FATAL" | sort | uniq -c

# 查看最活跃的IP地址（访问最多的前10个）
grep "$(date '+%d/%b/%Y')" /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -10

# 查看最近1小时的错误
grep "$(date '+%Y-%m-%d %H'):" /var/log/app.log | grep "ERROR"

# 快速检查系统健康状态
grep -E "ERROR|FATAL|CRITICAL" /var/log/*.log | wc -l

📝 grep核心技能清单#

✅ 基础必会

• grep "关键词" 文件名 - 基本搜索
• grep -i - 忽略大小写
• grep -n - 显示行号
• grep -c - 统计数量
• grep -v - 反向搜索（排除）

✅ 进阶实用

• grep -A/-B/-C - 显示上下文
• grep -r - 递归搜索目录
• grep -E - 使用正则表达式
• 管道组合：grep "A" | grep "B"

✅ 实战场景

• 错误日志排查
• 用户行为分析
• 性能问题定位
• 安全事件调查
• 实时日志监控

🚀 快速上手建议#

1. 先从简单开始：用grep "ERROR" 日志文件找错误
2. 每天练习一个场景：比如今天练习查找IP，明天练习统计错误
3. 建立自己的命令库：把常用的grep命令保存到笔记里
4. 结合实际工作：在真实的日志文件上练习，效果最好

💡 常见问题解答#

Q: grep找不到结果怎么办？ A: 检查文件路径、搜索内容拼写、文件权限

Q: 如何搜索包含空格的内容？ A: 用双引号包起来：grep "user login failed" app.log

Q: 如何在很多文件中搜索？ A: 使用通配符：grep "ERROR" *.log 或递归搜索：grep -r "ERROR" /var/log/

Q: 搜索结果太多怎么办？ A: 加更多条件过滤：grep "ERROR" app.log | grep "database" | head -10

记住：grep是运维和开发人员的必备技能，熟练掌握后能大大提高工作效率。从今天开始，在日常工作中多使用grep，很快你就会发现它的强大之处！