Sistem yöneticiliğinin vazgeçilmez rutinlerinden biri logları takip etmektir. Bir servis neden çöktü, kullanıcı neden giriş yapamıyor, web sunucusu neden 500 hatası veriyor? Bu soruların cevabı neredeyse her zaman bir log dosyasında saklıdır. İşte bu noktada tail komutu devreye girer ve günlük işlerinizin ayrılmaz bir parçası haline gelir.
tail Komutu Nedir?
tail, bir dosyanın son satırlarını görüntülemek için kullanılan temel bir Unix/Linux komutudur. Adı zaten her şeyi anlatıyor: “kuyruk”, yani dosyanın sonu. Varsayılan olarak bir dosyanın son 10 satırını gösterir ama asıl gücü -f flag’iyle ortaya çıkar. Canlı log takibi, production sorun giderme ve sistem izleme gibi kritik görevlerde tail -f olmadan hayat çok daha zor olurdu.
cat ile bir log dosyasını açmayı düşünün. 500 MB’lık bir nginx access.log dosyasını cat ile açarsanız terminaliniz dakikalarca sel gibi akan satırlarla boğulur. tail ise sizi bu dertten kurtarır ve sadece ilgilendiğiniz kısma odaklanmanızı sağlar.
Temel Kullanım ve Parametreler
Komutun en basit hali şöyle çalışır:
tail /var/log/syslogBu komut /var/log/syslog dosyasının son 10 satırını ekrana basar. Hepsi bu kadar. Ama bu kadarıyla kalmaz tabii.
Temel parametreler şunlardır:
- -n [sayı]: Gösterilecek satır sayısını belirler.
tail -n 50 dosya.logson 50 satırı gösterir. - -f: Dosyayı canlı olarak izler, yeni eklenen satırları anlık gösterir.
- -F:
-fgibi çalışır ama dosya silinip yeniden oluşturulsa bile takibi sürdürür. Log rotation için kritik. - -c [byte]: Satır değil byte sayısına göre gösterim yapar.
- -q: Birden fazla dosya izlerken dosya adı başlıklarını gizler.
- -v: Tek dosya izlerken bile dosya adını başlık olarak gösterir.
- –pid=[PID]: Belirtilen process ölünce tail’i otomatik sonlandırır.
- -s [saniye]: Dosya kontrolü arasındaki bekleme süresini ayarlar, varsayılan 1 saniyedir.
Satır Sayısını Belirleme
# Son 20 satırı göster
tail -n 20 /var/log/auth.log
# Son 100 satırı göster
tail -n 100 /var/log/nginx/error.log
# Kısa sözdizimi - aynı sonucu verir
tail -20 /var/log/auth.log
# Dosyanın 50. satırından sonrasını göster (baştan itibaren)
tail -n +50 /var/log/uygulama.logSon örnekteki +50 kullanımı çok işe yarar. Normalde tail sona doğru sayar, ama + işareti koyarsanız baştan itibaren sayar. Yani dosyanın 50. satırından dosyanın sonuna kadar her şeyi gösterir.
Canlı Log İzleme: -f Flag’i
Sysadmin hayatının en sık kullanılan kombinasyonu hiç şüphesiz tail -f‘dir. Bir servis kurarken, deployment yaparken veya bir problemi debug ederken log dosyasını canlı izlemek paha biçilemez.
# Nginx access logunu canlı izle
tail -f /var/log/nginx/access.log
# Auth logunu canlı izle - SSH brute force takibi için harika
tail -f /var/log/auth.log
# Uygulama logunu canlı izle
tail -f /opt/myapp/logs/application.logtail -f çalışırken dosyaya yeni satır eklendiği anda terminalde görünür. Çıkmak için Ctrl+C basmanız yeterli.
-f ile -F Arasındaki Kritik Fark
Bu iki flag arasındaki fark özellikle log rotation yapılandırmalarında hayat kurtarır.
-f flag’i dosyanın inode’unu takip eder. Logrotate çalışıp mevcut log dosyasını arşivlediğinde ve aynı isimde yeni bir dosya oluşturduğunda, -f eski arşivlenmiş dosyayı izlemeye devam eder. Yeni log dosyasına geçmez. Bu durumda sanki log akışı durmuş gibi görünür ama aslında yanlış dosyayı izliyorsunuzdur.
-F flag’i ise dosya adını takip eder. Dosya silinip aynı isimde yenisi oluştuğunda otomatik olarak yeni dosyaya geçer.
# Production'da her zaman -F kullanın
tail -F /var/log/nginx/access.log
# Logrotate ile çalışan herhangi bir log için
tail -F /var/log/mysql/error.logGenel kural: Production sistemlerde uzun süreli izleme yapıyorsanız -f yerine -F kullanın.
grep ile Kombinasyon: Filtrelenmiş Log Takibi
Ham log akışı çoğu zaman çok gürültülüdür. Binlerce normal istek arasında sadece hataları görmek istersiniz. İşte burada grep ile kombinasyon devreye girer.
# Sadece ERROR satırlarını izle
tail -f /var/log/uygulama.log | grep "ERROR"
# Birden fazla pattern ile filtrele
tail -f /var/log/nginx/access.log | grep -E "500|502|503|504"
# Büyük/küçük harf duyarsız arama
tail -f /var/log/uygulama.log | grep -i "exception"
# Belirli bir IP'nin isteklerini izle
tail -f /var/log/nginx/access.log | grep "192.168.1.100"
# Hata içeren ama belirli bir path'i içermeyen satırlar
tail -f /var/log/nginx/access.log | grep "500" | grep -v "/health-check"Son örnekteki -v flag’i grep’e ait olup eşleşen satırları değil, eşleşmeyen satırları gösterir. Health check endpointleri gibi sürekli 200 dışında dönebilen ama aslında sorun olmayan path’leri gürültüden çıkarmak için idealdir.
Birden Fazla Dosyayı Aynı Anda İzleme
Bazen birden fazla log dosyasını aynı anda takip etmeniz gerekir. Örneğin hem nginx error log hem de uygulama logunuzu aynı anda izlemek isteyebilirsiniz.
# İki dosyayı aynı anda izle
tail -f /var/log/nginx/error.log /var/log/myapp/app.log
# Üç farklı servisin logunu birlikte izle
tail -f /var/log/nginx/error.log
/var/log/mysql/error.log
/var/log/php7.4-fpm.logBu yöntemde tail, hangi satırın hangi dosyadan geldiğini belirtmek için ==> dosyaadi <== şeklinde başlıklar ekler. Böylece karışıklık olmaz.
# Wildcard ile belirli pattern'deki tüm log dosyalarını izle
tail -f /var/log/nginx/*.log
# Uygulama dizinindeki tüm log dosyalarını izle
tail -f /opt/myapp/logs/*.logGerçek Dünya Senaryoları
Senaryo 1: SSH Brute Force Saldırısını Tespit Etme
Sunucunuza SSH üzerinden sürekli başarısız giriş denemeleri yapılıyor mu? Bunu gerçek zamanlı olarak izleyebilirsiniz:
tail -f /var/log/auth.log | grep "Failed password"Eğer bir IP’den saniyede onlarca deneme geliyorsa bunu anında görürsünüz. Daha ileri gidip şöyle bir şey yazabilirsiniz:
tail -f /var/log/auth.log | grep "Failed password" | awk '{print $11}' | sort | uniq -c | sort -rnBu komut başarısız giriş denemelerini IP’ye göre gruplar ve en çok deneme yapan IP’yi en üste koyar. Brute force saldırısı yapan IP’yi anında tespit edersiniz.
Senaryo 2: Web Sunucusu Deployment Takibi
Yeni bir uygulama versiyonu deploy ediyorsunuz ve her şeyin yolunda gittiğinden emin olmak istiyorsunuz. Deployment sırasında aynı anda hem uygulama logunu hem de nginx error logunu izleyin:
tail -F /var/log/nginx/error.log /opt/myapp/logs/production.log | grep -E "ERROR|WARN|Exception|error"Deployment başladığında bu terminal açık kalsın. Herhangi bir hata çıktığında anında göreceksiniz.
Senaryo 3: MySQL Slow Query Takibi
Database performans sorunlarını debug ederken slow query log’unu izlemek çok işe yarar:
# MySQL slow query log'unu canlı izle
tail -f /var/log/mysql/mysql-slow.log
# Sadece sorgu sürelerini göster
tail -f /var/log/mysql/mysql-slow.log | grep "Query_time"Senaryo 4: Systemd Servis Loglarıyla Kombinasyon
Modern sistemlerde birçok servis systemd journal’a yazar. journalctl‘in -f flag’i aslında tail benzeri davranış sağlar ama bazen ikisini birleştirmeniz gerekebilir:
# Systemd servisinin logunu tail gibi izle
journalctl -u nginx -f
# Son 50 satırdan başlayarak canlı izle
journalctl -u myapp -n 50 -f
# Belirli bir öncelik seviyesinin üstündeki logları izle
journalctl -u myapp -p err -fSenaryo 5: Log Dosyası Büyüklüğünü Kontrol Ederek İzleme
Bazen bir log dosyasının çok hızlı büyüdüğünü fark edersiniz. Bu genellikle bir şeylerin çok yanlış gittiğinin işareti. Şöyle izleyebilirsiniz:
# Anlık olarak log dosyasının son satırlarını izlerken boyutunu da takip et
watch -n 5 'ls -lh /var/log/myapp/app.log && tail -5 /var/log/myapp/app.log'Bu komut her 5 saniyede dosya boyutunu ve son 5 satırı gösterir. Dosya anormal hızda büyüyorsa görürsünüz.
multitail: Gelişmiş Çoklu Log İzleme
tail‘in built-in çoklu dosya desteği iş görse de daha karmaşık senaryolar için multitail aracını incelemenizi öneririm. Çoğu sistemde paketten kurulabilir:
# Debian/Ubuntu
apt install multitail
# CentOS/RHEL
yum install multitailAma salt tail ile de çok şey yapılabilir. Tmux veya screen ile birden fazla terminal paneli açıp her birine farklı bir tail -f komutu yazmak da yaygın ve etkili bir yöntemdir.
Script İçinde tail Kullanımı
tail sadece interaktif kullanım için değil, bash scriptleri içinde de çok kullanışlıdır.
#!/bin/bash
# Bir işlem başladığında logu izleyip belirli bir mesaj gelince dur
LOG_FILE="/var/log/myapp/startup.log"
SUCCESS_MSG="Application started successfully"
ERROR_MSG="Failed to start"
TIMEOUT=60
echo "Uygulama başlangıcı bekleniyor..."
# Arka planda tail başlat
tail -f "$LOG_FILE" &
TAIL_PID=$!
# Zaman aşımı ile bekleme döngüsü
START_TIME=$(date +%s)
while true; do
if grep -q "$SUCCESS_MSG" "$LOG_FILE"; then
echo "Uygulama başarıyla başladı!"
kill $TAIL_PID 2>/dev/null
exit 0
fi
if grep -q "$ERROR_MSG" "$LOG_FILE"; then
echo "HATA: Uygulama başlatılamadı!"
kill $TAIL_PID 2>/dev/null
exit 1
fi
CURRENT_TIME=$(date +%s)
if [ $((CURRENT_TIME - START_TIME)) -gt $TIMEOUT ]; then
echo "Zaman aşımı! Uygulama $TIMEOUT saniye içinde başlamadı."
kill $TAIL_PID 2>/dev/null
exit 2
fi
sleep 2
doneBu script bir uygulamanın başlayıp başlamadığını log üzerinden kontrol eder ve sonucu uygun exit code ile döner. CI/CD pipeline’larında deployment doğrulaması için ideal.
Performans İpuçları
Çok yoğun log dosyalarını izlerken birkaç noktaya dikkat etmek gerekir.
grep ile buffer sorunları: Pipe içinde grep kullanırken bazen satırların gecikmeli görüntülendiğini fark edebilirsiniz. Bu, grep’in output buffer’ından kaynaklanır. --line-buffered flag’i bu sorunu çözer:
tail -f /var/log/nginx/access.log | grep --line-buffered "ERROR"Çok sayıda dosya izleme: Onlarca log dosyasını aynı anda tail -f ile izlemek sistem kaynaklarını zorlar. Böyle bir ihtiyaç varsa Elasticsearch + Filebeat veya Loki + Promtail gibi merkezi log yönetim çözümlerine geçmeyi düşünün.
Büyük dosyalarda -n kullanımı: tail -n 1000 gibi büyük sayılar kullandığınızda tail dosyayı sondan tarar, baştan değil. Bu nedenle dosya boyutundan bağımsız olarak performanslıdır.
head Komutu ile Karşılaştırma
tail‘in kardeş komutu head, dosyanın başını gösterir. İkisini birlikte kullanarak dosyanın belirli bir kısmını kesmek mümkündür:
# 100 ile 120. satırlar arasını göster
head -n 120 /var/log/uygulama.log | tail -n 20
# Dosyanın ortasından bir kısmı çıkarmak
sed -n '500,550p' /var/log/uygulama.logİkinci yöntemde sed daha temiz bir çözüm sunar ama head | tail kombinasyonu da yaygın kullanılır ve pratik bir bilgidir.
Güvenlik Açısından tail
Log takibi yaparken güvenlik bilincini kaybetmeyin. Bazı log dosyaları hassas bilgiler içerebilir.
# Auth log genellikle root yetkisi gerektirir
sudo tail -f /var/log/auth.log
# Bazı uygulama logları şifre veya token içerebilir
# Bu tür logları izlerken dikkatli olun, ekran paylaşımı yapıyorsanız özellikle
tail -f /var/log/myapp/debug.log | grep -v "password|token|secret"Ayrıca log dosyalarına kimin eriştiğini düzenli kontrol edin. /var/log dizinine geniş okuma izinleri vermek güvenlik açığı oluşturabilir.
Faydalı Alias Tanımlamaları
Sık kullandığınız tail kombinasyonlarını .bashrc veya .bash_aliases dosyasına alias olarak ekleyebilirsiniz:
# ~/.bashrc veya ~/.bash_aliases dosyasına ekleyin
# Nginx logları
alias nginx-access='tail -F /var/log/nginx/access.log'
alias nginx-error='tail -F /var/log/nginx/error.log'
# Sistem logları
alias syslog='tail -F /var/log/syslog'
alias authlog='sudo tail -F /var/log/auth.log'
# Sadece hataları göster
alias nginx-errors='tail -F /var/log/nginx/error.log | grep -i "error|crit|alert|emerg"'
# Kaydetmek için
source ~/.bashrcBu alias’ları tanımladıktan sonra nginx-error yazmanız yeterli. Özellikle sık baktığınız loglar için bu küçük trick günde on dakika kazandırabilir.
Sonuç
tail komutu, görünürde basit bir araç olmasına rağmen sysadmin araç kutusunun en değerli parçalarından biridir. Yeni başlayan bir sistem yöneticisi için tail -f ile log izlemeyi öğrenmek nasıl bir dönüm noktasıysa, deneyimli bir sysadmin için de tail -F, grep kombinasyonları ve script entegrasyonları günlük işlerin olmazsa olmazıdır.
Özellikle şunu aklınızda tutun: Production sistemlerde log izliyorsanız her zaman -F kullanın, grep ile filtreleme yaparken --line-buffered ekleyin ve hassas log dosyalarına dikkat edin. Bu üç kural sizi birçok baş ağrısından kurtarır.
Sonraki adım olarak tail‘i awk, sed ve cut ile kombinlemeyi öğrenmenizi öneririm. Log satırlarından belirli alanları çekip istatistik üretmek veya anomali tespiti yapmak istediğinizde bu üçlü çok işinize yarayacak. Ama o başka bir yazının konusu.