一個日志查詢分析的例子

項目發(fā)布上線后，接下來需要做什么？開Party，慶祝項目上線。但是Party開到一半，服務(wù)運行出了點問題。領(lǐng)導(dǎo)要你馬上調(diào)查原因并給出合適的解決辦法。項目才剛上線，日志監(jiān)控系統(tǒng)都還沒來得及完善。你該怎么處理？

登錄服務(wù)器，查詢?nèi)罩疚募ㄎ幌嚓P(guān)日志，并分析原因。所以在linux服務(wù)器上進(jìn)行日志查詢，成為了必備的技能。

于是你登上了服務(wù)器，找到了對應(yīng)服務(wù)的日志文件，輸入了：

tail -f <xx-service>.log

但這只能看最新的日志輸出，不能看到過去的某個時間點的日志，或者根據(jù)某些特定的字符進(jìn)行篩選。

于是你輸入了命令：

tail -n 20000 <xx-service>.log | grep "ERROR" -A 50 -B 50

查看了最近20000行中出現(xiàn)ERROR的日志并包括其前50行和后50行。

一頓操作后你調(diào)查出了具體原因，并給出了問題的解決方法。但是你想調(diào)查一下問題出現(xiàn)的頻次：

tail -n 2000 <xx-service>.log | grep 'ERROR' | awk '{count++;} END {print "error count:", count}'

隨后你分析出了出現(xiàn)問題的更深層次的原因，并出具了根本原因分析報告。

在不具備完善的ELK日志收集分析系統(tǒng)的情況下，日志查詢分析只能依靠Linux基礎(chǔ)的日志查詢分析工具：tail, grep, awk等命令。

tail命令

tail命令用于查看日志文件，常見用法如下：

顯示文件的最后10行：

tail <file name>

顯示文件的最后200行：

tail -n 200 <file name>

顯示文件第200行開始到末尾的內(nèi)容：

tail -n +200 <file name> 

循環(huán)讀取文件：

tail -f <file name>

更多tail命令相關(guān)的信息，可以通過tail --help命令查看。

grep命令

grep命令用于在一個或多個輸入文件中，搜索與正則匹配的行，并將匹配的行標(biāo)準(zhǔn)輸出。

在日志查詢中，通常用來將tail的輸出結(jié)果進(jìn)行過濾日志，常見用法如下：

(1) 顯示最近2000行日志中，包含Error（區(qū)分大小寫）的日志行如包含SystemError，InputError, Error等單詞的行

tail -n 2000 <file name> | grep 'Error' 

(2) 顯示最近2000行日志中，包含Error單詞（區(qū)分大小寫）的日志行：

tail -n 2000 <file name> | grep -w 'Error' 

-w表示匹配單詞。

(3) 如果不區(qū)分大小寫，則可以用以下命令：

tail -n 2000 <file name> | grep -wi 'Error'

-i參數(shù)則表示不區(qū)分大小寫。

(4) 如果需要顯示不包含Error的日志行，則可以用以下命令：

tail -n 2000 postman.log | grep -wiv 'Error'

-v表示對匹配的條件取反.

(5) 如果需要進(jìn)行正則匹配則可以加入-e參數(shù)，-E參數(shù)則表示擴(kuò)展正則匹配

tail -n 2000 postman.log | grep -e '.*Error.*'  
tail -n 2000 postman.log | grep -E '.*Error.*|.*error.*'

(6) -A參數(shù)可以包含匹配行的前n行，-B參數(shù)則包含匹配行的后n行，上文的提到的命令

tail -n 20000 <xx-service>.log | grep "ERROR" -A 50 -B 50

則表示匹配包含ERROR字符的行，以及前50行和后50行。

更多grep命令相關(guān)的信息，也可以通過grep --help命令查看。

awk命令

awk是一個文本處理工具，主要用于數(shù)據(jù)掃描，過濾，統(tǒng)計匯總等。

awk基本語法則是：

awk '<pattern> {<action>} <pattern> {<action>}...'

上面提到的一個關(guān)于awk的命令則是統(tǒng)計了一下日志中出現(xiàn)ERROR字符的行數(shù)。

tail -n 2000 <xx-service>.log | grep 'ERROR' | awk '{count++;} END {print "error count:", count}'

更簡單的實現(xiàn)方式則可以通過awk的內(nèi)置變量實現(xiàn)，如列出ls命令輸出的結(jié)果行數(shù)：

ls | awk 'END{print NR}'

END是awk中的一個關(guān)鍵字，后面接的代碼塊只會在讀取完所有數(shù)據(jù)記錄最后執(zhí)行一次。與之相反的則是BEGIN，后面接的代碼塊只會在讀取數(shù)據(jù)記錄前執(zhí)行一次。

awk是一個十分強(qiáng)大的文本分析工具，如果有日志分析需求，awk足以應(yīng)對日常所需。更多關(guān)于awk的教程可以自行在網(wǎng)上搜索相關(guān)資料，或者查看官網(wǎng)教程：https://www.gnu.org/software/gawk/manual/html_node/index.html

總結(jié)

總之，基于linux的日志查詢分析，結(jié)合tail、grep、awk這三個命令的運用，就完全滿足日常的日志分析需求了。tail控制日志查找范圍，grep進(jìn)行關(guān)鍵詞篩選，awk用于分析統(tǒng)計。