我有一个大小约为35GB的Apache访问日志文件。 使用grep进行搜索已经不再是一种可行的选择,需要等待很长时间。
我想按照日期作为分割标准,将它拆分成许多小文件。
日期格式为[15/Oct/2011:12:02:02 +0000]。 有没有什么方法可以仅使用bash脚本、标准文本操作程序(如grep、awk、sed等)、管道和重定向来完成?
输入文件名为access.log。 我希望输出文件的格式为access.apache.15_Oct_2011.log(这样会起到效果,但在排序时不太好看。)
使用 awk 的一种方法:
awk 'BEGIN {
split("Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec ", months, " ")
for (a = 1; a <= 12; a++)
m[months[a]] = sprintf("%02d", a)
}
{
split($4,array,"[:/]")
year = array[3]
month = m[array[2]]
print > FILENAME"-"year"_"month".txt"
}' incendiary.ws-2009
这将输出类似以下的文件:
incendiary.ws-2010-2010_04.txt
incendiary.ws-2010-2010_05.txt
incendiary.ws-2010-2010_06.txt
incendiary.ws-2010-2010_07.txt
在一个150MB大小的日志文件上,使用chepner的回答在一台3.4GHz 8核Xeon E31270处理了70秒,而使用这种方法只需5秒。
原始灵感来源:"如何按月份拆分现有的Apache日志文件?"
纯Bash实现,只需一次遍历访问日志:
while read; do
[[ $REPLY =~ \[(..)/(...)/(....): ]]
d=${BASH_REMATCH[1]}
m=${BASH_REMATCH[2]}
y=${BASH_REMATCH[3]}
#printf -v fname "access.apache.%s_%s_%s.log" ${BASH_REMATCH[@]:1:3}
printf -v fname "access.apache.%s_%s_%s.log" $y $m $d
echo "$REPLY" >> $fname
done < access.log
awk中迭代输入要比在bash中快得多;输出文件的数量并不是真正相关的因素。 - chepnerawk -F"[]/:[]" '
BEGIN {
m2n["Jan"] = 1; m2n["Feb"] = 2; m2n["Mar"] = 3; m2n["Apr"] = 4;
m2n["May"] = 5; m2n["Jun"] = 6; m2n["Jul"] = 7; m2n["Aug"] = 8;
m2n["Sep"] = 9; m2n["Oct"] = 10; m2n["Nov"] = 11; m2n["Dec"] = 12;
}
{
if($4 != pyear || $3 != pmonth || $2 != pday) {
pyear = $4
pmonth = $3
pday = $2
if(fname != "")
close(fname)
fname = sprintf("access_%04d_%02d_%02d.log", $4, m2n[$3], $2)
}
print > fname
}' access-log
awk '
BEGIN {
m2n["Jan"] = 1; m2n["Feb"] = 2; m2n["Mar"] = 3; m2n["Apr"] = 4;
m2n["May"] = 5; m2n["Jun"] = 6; m2n["Jul"] = 7; m2n["Aug"] = 8;
m2n["Sep"] = 9; m2n["Oct"] = 10; m2n["Nov"] = 11; m2n["Dec"] = 12;
}
{
split($4, a, "[]/:[]")
if(a[4] != pyear || a[3] != pmonth || a[2] != pday) {
pyear = a[4]
pmonth = a[3]
pday = a[2]
if(fname != "")
close(fname)
fname = sprintf("access_%04d-%02d-%02d.log", a[4], m2n[a[3]], a[2])
}
print >> fname
}'
Perl 来解救了我们:
cat access.log | perl -n -e'm@\[(\d{1,2})/(\w{3})/(\d{4}):@; open(LOG, ">>access.apache.$3_$2_$1.log"); print LOG $_;'
嗯,它并不是完全符合“标准”的操作程序,但它仍然是为文本操作而设计的。
我还改变了文件名中参数的顺序,这样文件的命名方式就像access.apache.yyyy_mon_dd.log,更易于排序。
有点丑陋,这就是Bash的风格:
for year in 2010 2011 2012; do
for month in jan feb mar apr may jun jul aug sep oct nov dec; do
for day in 1 2 3 4 5 6 7 8 9 10 ... 31 ; do
cat access.log | grep -i $day/$month/$year > $day-$month-$year.log
done
done
done
我对Theodore的回答进行了轻微改进,以便在处理非常大的日志文件时可以看到进展。
#!/usr/bin/awk -f
BEGIN {
split("Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec ", months, " ")
for (a = 1; a <= 12; a++)
m[months[a]] = a
}
{
split($4, array, "[:/]")
year = array[3]
month = sprintf("%02d", m[array[2]])
current = year "-" month
if (last != current)
print current
last = current
print >> FILENAME "-" year "-" month ".txt"
}
gawk(如果你没有,可以brew install gawk)才能在Mac OS X上运行。
sprintf("%02d", a)来编码month变量。请修复你的输出文件名以避免混淆。 - SebMa