lnav 是一款开源的控制台日志文件查看器，专为 Linux 和 Unix-like 系统设计。它通过自动检测日志文件的格式，提取时间戳、日志级别等关键信息，并将多个日志文件的内容按时间顺序合并显示，从而帮助用户快速定位和分析问题。

主要特点

1. 「自动格式检测」

lnav 内置了对多种常见日志格式的支持，如 Syslog、Apache access_log、Nginx access_log 等，并能自动识别和解析这些格式。

2. 「多文件合并视图」

lnav 可以将多个日志文件的内容按时间戳合并到一个视图中，方便用户跨文件分析事件。

3. 「实时更新」

lnav 支持实时监控日志文件的变化，自动加载并显示新的日志条目。

4. 「强大的搜索和过滤」

用户可以使用正则表达式进行搜索和过滤，快速定位感兴趣的日志条目。

5. 「SQL 查询支持」

lnav 内置了 SQLite 数据库引擎，允许用户使用 SQL 查询对日志数据进行深入分析。

6. 「语法高亮和颜色编码」

lnav 使用颜色编码区分不同级别的日志（如 INFO、WARN、ERROR），并高亮显示关键信息。

7. 「压缩文件支持」

lnav 能够自动解压和查看压缩的日志文件，如 gzip 和 bzip2 格式。

8. 「远程文件访问」

通过 SSH，lnav 可以直接查看远程服务器上的日志文件。

9. 「用户友好的界面」

lnav 提供了一个直观的控制台界面，支持热键操作和命令行交互。

与传统的日志查看工具相比，lnav 提供了更高级的功能和更高效的工作流程。它不仅能够处理大规模的日志数据，还能通过 SQL 查询和可视化工具帮助用户深入分析日志内容。此外，lnav 的自动格式检测和多文件合并视图功能，极大地简化了日志分析的复杂性。

lnav官网地址：

https://lnav.org/

安装和配置

lnav 可以在大多数 Linux 发行版上通过包管理器安装。以下是一些常见发行版的安装命令：

• 「Ubuntu / Debian」

sudo apt-get install lnav

• 「Fedora」

sudo dnf install lnav

• 「CentOS / RHEL」

首先启用 EPEL 仓库，然后安装：

sudo yum install epel-release

sudo yum install lnav

• 「Arch Linux」

sudo pacman -S lnav

• 「macOS」

可以使用 Homebrew 安装：

brew install lnav

如果您的发行版不支持包管理器安装，或者您希望使用最新版本，可以从 lnav 的 GitHub 仓库下载源代码并编译安装。

https://github.com/tstack/lnav

基本配置

lnav 的配置文件位于 ~/.lnav/ 目录下，用户可以根据需要自定义配置。

以下是一些常见的配置选项：

• 「主题」

lnav 支持多种颜色主题，用户可以通过以下命令切换主题：

:config /ui/theme <theme_name>

• 「热键」

用户可以自定义热键映射，以适应个人习惯，配置文件为 ~/.lnav/keymap.json。

• 「日志格式」

如果 lnav 无法自动识别您的日志格式，可以通过编写 JSON 格式的配置文件（如 ~/.lnav/formats/）来定义自定义格式。

基本使用

启动 lnav

要查看单个日志文件，只需在命令行中输入：

lnav hwinfo_new.txt

要查看多个日志文件：

lnav /path/to/logfile1 /path/to/logfile2

如果不指定文件，lnav 将尝试打开系统默认的 syslog 文件（如 /var/log/syslog）。

界面布局

lnav 的界面主要由以下部分组成：

• 「顶部状态栏」

显示当前视图、时间范围、文件数量等信息。

• 「主视图」

显示合并后的日志条目。

• 「底部状态栏」

显示热键提示和命令行输入。

基本导航

• 「上下移动」

使用 j 和 k 键（或箭头键）在日志条目间移动。

• 「翻页」

使用 d 和 u 键进行半页翻页，f 和 b 键进行整页翻页。

• 「跳转」

按 g 跳转到文件顶部，按 G 跳转到文件底部。

搜索

• 「进入搜索模式」
  
  按 / 键，输入要搜索的文本或正则表达式，按 Enter 确认。
• 「在搜索结果中移动」
  
  使用 n 键跳转到下一个匹配项，N 键跳转到上一个匹配项。

过滤

lnav 支持通过正则表达式过滤日志条目：

• 「仅显示匹配模式的条目」

:filter-in <pattern>

• 「隐藏匹配模式的条目」

:filter-out <pattern>

常用热键

lnav 提供了丰富的热键来增强用户体验：

• e：跳转到下一个错误消息。
• w：跳转到下一个警告消息。
• t：切换到文本视图。
• q：退出 lnav。
• Home / End：跳转到日志的开头或结尾。
• Space：向下翻页。

高级功能

SQL 查询

lnav 内置了 SQLite 数据库引擎，允许用户使用 SQL 查询对日志数据进行分析。每个日志文件都被视为一个虚拟表，用户可以执行 SELECT、GROUP BY 等操作。

「示例」：统计 Apache access_log 中每个 IP 地址的访问次数：

SELECT c_ip, COUNT(*) AS total FROM access_log GROUP BY c_ip ORDER BY total DESC;

「使用方法」：

1. 按 ; 键进入 SQL 模式。
2. 输入 SQL 查询并按 Enter 执行。

正则表达式高亮

用户可以使用以下命令高亮显示匹配正则表达式的文本：

:highlight <pattern>

「示例」：高亮所有包含 "error" 的行：

:highlight error

书签和注释

• 「添加书签」
  
  按 m 键在当前行添加书签。
• 「查看书签」
  
  按 ' 键查看所有书签。
• 「添加注释」
  
  按 c 键在当前行添加注释。

时间线视图

lnav 提供了时间线视图，显示日志消息的时间分布 histogram。

• 「切换到时间线视图」：按 T 键。
• 「返回主视图」：再次按 T 键。

远程文件访问

lnav 支持通过 SSH 查看远程服务器上的日志文件。使用 :open 命令并指定远程路径：

:open ssh://user@host:/path/to/logfile

其他高级命令

:goto <time>  

跳转到指定时间点的日志条目，例如：

:goto 2023-10-01 12:00:00

• 「:hide-unmarked」

隐藏未标记（未加书签）的行。

• 「:reset-session」

重置当前会话，清除所有过滤和高亮设置。

实际应用场景

场景 1：监控系统日志

系统管理员可以使用 lnav 实时监控 /var/log/syslog 和 /var/log/auth.log，快速发现系统异常或安全事件。

lnav /var/log/syslog /var/log/auth.log

「操作」：

• 按 / 搜索 "failed"，定位登录失败事件。
• 使用 :filter-in failed 仅显示相关条目。

场景 2：分析 Web 服务器日志

开发人员可以使用 lnav 查看 Apache 或 Nginx 的 access_log 和 error_log，分析网站流量和错误。

lnav /var/log/apache2/access.log /var/log/apache2/error.log

「操作」：

• 使用 SQL 查询统计 404 错误数量：

SELECT COUNT(*) FROM access_log WHERE sc_status = '404';

场景 3：排查应用程序问题

通过 SQL 查询，开发人员可以从应用程序日志中提取特定时间段内的错误消息，并进行统计分析。

SELECT log_time, log_message FROM app_log WHERE log_level = 'ERROR' AND log_time > '2023-01-01';