タイトル: tail ファイルの末尾表示
SEOタイトル: Linux tail コマンド完全ガイド (-f / -n / -F / journalctl / PowerShell Get-Content -Wait)
| この記事の要点 |
|
基本構文
# 末尾 10 行 (デフォルト)
tail /var/log/syslog
# 末尾 100 行
tail -n 100 /var/log/syslog
tail -100 /var/log/syslog # 短縮形
# 先頭から N 行スキップして残り全部
tail -n +1000 /var/log/syslog # 1000 行目以降全部
# 複数ファイル (ファイル名ヘッダ付き)
tail -n 5 *.log
# パイプ経由 (最後の数行だけ)
ps aux | tail -5主要オプション
| オプション | 意味 |
|---|---|
-n N / -N | 末尾 N 行 |
-n +N | N 行目以降全部 |
-c N | 末尾 N バイト |
-f / --follow | ファイル末尾に追加されたら表示し続ける |
-F | -f --retry 相当 (logrotate でファイル切替されても追随) |
--pid=PID | 指定プロセス終了で追随終了 |
--retry | ファイルが無くても再試行 |
-s N | 追随時のポーリング間隔 (秒) |
-q | 複数ファイル時のヘッダ抑制 |
-v | 必ずヘッダ表示 |
-f vs -F の違い (logrotate 対応)
# -f: ファイルのインデックスノード (inode) を追随
tail -f /var/log/nginx/access.log
# → logrotate で .log → .log.1 にリネームされると追随できなくなる
# → 新しい .log が作られても古い inode を見続ける
# -F: ファイル名を追随 (logrotate 対応)
tail -F /var/log/nginx/access.log
# → リネーム後、新しい access.log が作成されたら自動的にそちらへ切替
# 確実な書き方
tail -F --retry /var/log/nginx/access.log
# → ファイルがまだ無くてもエラーで止まらず待機ログ監視の実戦パターン
# 1) リアルタイムにエラーだけ抽出
tail -f /var/log/syslog | grep -E "ERROR|FATAL|CRITICAL"
# 2) 複数ログを並行監視 (ファイル名付き)
tail -F /var/log/nginx/access.log /var/log/nginx/error.log
# 3) 色付け (ccze や grc を併用)
tail -f /var/log/auth.log | ccze -A
# 4) アクセスログから 404 を即検知
tail -F /var/log/nginx/access.log | awk '$9 == 404'
# 5) Slack 通知 (重大エラーのみ)
tail -F /var/log/myapp.log | grep --line-buffered "FATAL" | while read line; do
curl -X POST -H 'Content-type: application/json' \
--data "{\"text\":\"FATAL: $line\"}" \
https://hooks.slack.com/services/XXX/YYY/ZZZ
done
# 6) less +F で「追随しつつスクロールも可能」
less +F /var/log/syslog
# → Ctrl+C で追随停止、矢印キーでスクロール、Shift+F で追随再開、q で終了head との比較
| コマンド | 動作 |
|---|---|
head file | 先頭 10 行 |
head -100 file | 先頭 100 行 |
head -n -10 file | 末尾 10 行を除いた残り全部 |
tail file | 末尾 10 行 |
tail -100 file | 末尾 100 行 |
tail -n +10 file | 10 行目以降全部 |
journalctl との比較 (systemd 環境)
# systemd では多くのログが /var/log/syslog ではなく journald 管理
# → tail でなく journalctl を使う
# tail -f の代わり
journalctl -f
# 特定サービス
journalctl -u nginx -f
journalctl -u myapp.service -f --since "1 hour ago"
# 直近 100 行
journalctl -n 100
# カーネルログ
journalctl -k -f
# 優先度フィルタ
journalctl -p err -f # err 以上
journalctl -p warning..err # 範囲指定Windows / PowerShell での tail 相当
# 末尾 10 行
Get-Content -Tail 10 C:\logs\app.log
# 末尾 100 行
Get-Content -Tail 100 C:\logs\app.log
# tail -f 相当 (追随)
Get-Content -Tail 10 -Wait C:\logs\app.log
# 別名 (PowerShell 7+ で gc は Get-Content)
gc -Tail 10 -Wait C:\logs\app.log
# grep 相当の絞り込み
Get-Content -Tail 100 -Wait C:\logs\app.log | Select-String "ERROR"
# Linux 風に書きたい場合 (WSL or Git Bash)
wsl tail -f /mnt/c/logs/app.logリモートサーバの tail
# SSH 経由でリモートのログを追随
ssh user@server "tail -f /var/log/syslog"
# 複数サーバ並行監視 (xpanes / tmux 等)
for h in web1 web2 web3; do
ssh $h "tail -F /var/log/nginx/access.log" &
done
# Ansible で全ホスト末尾取得
ansible all -m shell -a "tail -n 50 /var/log/syslog"
# 巨大ログを転送せずに集計
ssh user@server "tail -100000 /var/log/access.log | awk '{print \$1}' | sort -u | wc -l"大きなファイルでの注意
tailはファイル末尾から読むのでサイズが大きくても高速 (10GB でも瞬時)- ただし パイプの先で sort や grep -v をすると全データを処理するので遅い
- バイナリファイルを tail すると端末が壊れることがある →
tail file | cat -vで escape - 圧縮ログは
zcat file.gz | tailまたはzless
FAQ
Q: tail -f しているのに新しい行が出ない
A: ファイルが回転 (logrotate) された可能性。-F に変えるか、再起動。アプリ側がバッファリングしていることも (stdbuf -oL で line-buffer 化)。
Q: 末尾 N 行をリアルタイムだけ追いたい (過去は不要)
A: tail -f -n 0 file。-n 0 で過去をスキップ、新規追記分だけ表示。
Q: tail と watch の違いは?
A: tail -f はファイルの追記を追随、watch はコマンドを定期実行 (例: watch -n 1 'df -h')。