awk应用
基本用法
awk
的基本用法就是下面的形式。
# 格式 $ awk 动作 文件名 # 示例 $ awk '{print $0}' demo.txt
上面示例中,demo.txt
是awk
所要处理的文本文件。前面单引号内部有一个大括号,里面就是每一行的处理动作print $0
。其中,print
是打印命令,$0
代表当前行,因此上面命令的执行结果,就是把每一行原样打印出来。
下面,我们先用标准输入(stdin)演示上面这个例子。
$ echo 'this is a test' | awk '{print $0}' this is a test
上面代码中,print $0
就是把标准输入this is a test
,重新打印了一遍。
awk
会根据空格和制表符,将每一行分成若干字段,依次用$1
、$2
、$3
代表第一个字段、第二个字段、第三个字段等等。
$ echo 'this is a test' | awk '{print $3}' a
上面代码中,$3
代表this is a test
的第三个字段a
。
下面,为了便于举例,我们把/etc/passwd
文件保存成demo.txt
。
root:x:0:0:root:/root:/usr/bin/zsh daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync
这个文件的字段分隔符是冒号(:
),所以要用-F
参数指定分隔符为冒号。然后,才能提取到它的第一个字段。
$ awk -F ':' '{ print $1 }' demo.txt root daemon bin sys sync
变量
除了$ + 数字
表示某个字段,awk
还提供其他一些变量。
变量NF
表示当前行有多少个字段,因此$NF
就代表最后一个字段。
$ echo 'this is a test' | awk '{print $NF}' test
$(NF-1)
代表倒数第二个字段。
$ awk -F ':' '{print $1, $(NF-1)}' demo.txt root /root daemon /usr/sbin bin /bin sys /dev sync /bin
上面代码中,print
命令里面的逗号,表示输出的时候,两个部分之间使用空格分隔。
变量NR
表示当前处理的是第几行。
$ awk -F ':' '{print NR ") " $1}' demo.txt 1) root 2) daemon 3) bin 4) sys 5) sync
上面代码中,print
命令里面,如果原样输出字符,要放在双引号里面。
awk
的其他内置变量如下。
FILENAME
:当前文件名
FS
:字段分隔符,默认是空格和制表符。
RS
:行分隔符,用于分割每一行,默认是换行符。
OFS
:输出字段的分隔符,用于打印时分隔字段,默认为空格。
ORS
:输出记录的分隔符,用于打印时分隔记录,默认为换行符。
OFMT
:数字输出的格式,默认为%.6g
。
函数
awk
还提供了一些内置函数,方便对原始数据的处理。
函数toupper()
用于将字符转为大写。
$ awk -F ':' '{ print toupper($1) }' demo.txt ROOT DAEMON BIN SYS SYNC
上面代码中,第一个字段输出时都变成了大写。
其他常用函数如下。
tolower()
:字符转为小写。
length()
:返回字符串长度。
substr()
:返回子字符串。
sin()
:正弦。
cos()
:余弦。
sqrt()
:平方根。
rand()
:随机数。
awk
内置函数的完整列表,可以查看手册。
条件
awk
允许指定输出条件,只输出符合条件的行。
输出条件要写在动作的前面。
$ awk '条件 动作' 文件名
请看下面的例子。
$ awk -F ':' '/usr/ {print $1}' demo.txt root daemon bin sys
上面代码中,print
命令前面是一个正则表达式,只输出包含usr
的行。
下面的例子只输出奇数行,以及输出第三行以后的行。
# 输出奇数行 $ awk -F ':' 'NR % 2 == 1 {print $1}' demo.txt root bin sync # 输出第三行以后的行 $ awk -F ':' 'NR >3 {print $1}' demo.txt sys sync
下面的例子输出第一个字段等于指定值的行。
$ awk -F ':' '$1 == "root" {print $1}' demo.txt root $ awk -F ':' '$1 == "root" || $1 == "bin" {print $1}' demo.txt root bin
if 语句
awk
提供了if
结构,用于编写复杂的条件。
$ awk -F ':' '{if ($1 > "m") print $1}' demo.txt root sys sync
上面代码输出第一个字段的第一个字符大于m
的行。
if
结构还可以指定else
部分。
$ awk -F ':' '{if ($1 > "m") print $1; else print "---"}' demo.txt root --- --- sys sync
一、时间戳及当地时间的转换
概念
时间戳(Timestamp)是一种表示时间的方式,通常是一个整数或浮点数,代表从某个固定时间点(通常是1970年1月1日00:00:00 UTC)起经过的秒数或毫秒数。时间戳是计算机系统中广泛使用的时间表示方法,它可以用来进行时间计算和比较。
2.时间的两种表示方式
在计算机中,时间可以使用时间戳表示,也可以使用日期时间格式表示。日期时间格式是人类可读的时间表示方式,例如:"2019-11-10 03:42:40"。
二、时间类内置函数:mktime
在AWK中,可以使用mktime函数将日期时间格式的时间转换为时间戳。
示例:将 "2019-11-10 03:42:40" 转换成 epoch 时间(即1970-01-01 00:00:00):
# 定义日期时间格式的时间
date_time_str = "2019-11-10 03:42:40"
# 使用mktime函数将日期时间转换为时间戳
timestamp = mktime(date_time_str)
# 输出结果
print timestamp
输出结果:
1573344160
三、筛选给定时间范围内的日志实例
假设有以下日志实例:
实例1: 2023-08-05 12:30:15 实例2: 2023-08-06 09:15:20 实例3: 2023-08-06 09:15:25
现在我们要筛选出在 2023年8月6日 00:00:00 到 2023年8月6日 12:00:00 之间的日志。
# 定义时间范围的开始和结束
start_time_str = "2023-08-06 00:00:00"
end_time_str = "2023-08-06 12:00:00"
# 使用mktime函数将日期时间转换为时间戳
start_timestamp = mktime(start_time_str)
end_timestamp = mktime(end_time_str)
# 读取日志文件,每行包含日期时间和日志内容,以空格分隔
# 假设日志文件名为log.txt
awk -v start_ts=$start_timestamp -v end_ts=$end_timestamp '{
# 提取日期时间字段
log_time_str = $1 " " $2
# 使用mktime函数将日期时间转换为时间戳
log_timestamp = mktime(log_time_str)
# 判断是否在给定时间范围内
if (log_timestamp >= start_ts && log_timestamp <= end_ts) {
print $0 # 输出整行日志内容
}
}' log.txt