筛选给定时间范围内的日志

awk应用

基本用法

awk的基本用法就是下面的形式。

# 格式
$ awk 动作 文件名
​
# 示例
$ awk '{print $0}' demo.txt

上面示例中,demo.txtawk所要处理的文本文件。前面单引号内部有一个大括号,里面就是每一行的处理动作print $0。其中,print是打印命令,$0代表当前行,因此上面命令的执行结果,就是把每一行原样打印出来。

下面,我们先用标准输入(stdin)演示上面这个例子。

$ echo 'this is a test' | awk '{print $0}'
this is a test

上面代码中,print $0就是把标准输入this is a test,重新打印了一遍。

awk会根据空格和制表符,将每一行分成若干字段,依次用$1$2$3代表第一个字段、第二个字段、第三个字段等等。

$ echo 'this is a test' | awk '{print $3}'
a

上面代码中,$3代表this is a test的第三个字段a

下面,为了便于举例,我们把/etc/passwd文件保存成demo.txt

root:x:0:0:root:/root:/usr/bin/zsh
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync

这个文件的字段分隔符是冒号(:),所以要用-F参数指定分隔符为冒号。然后,才能提取到它的第一个字段。

$ awk -F ':' '{ print $1 }' demo.txt
root
daemon
bin
sys
sync

变量

除了$ + 数字表示某个字段,awk还提供其他一些变量。

变量NF表示当前行有多少个字段,因此$NF就代表最后一个字段。

$ echo 'this is a test' | awk '{print $NF}'
test

$(NF-1)代表倒数第二个字段。

$ awk -F ':' '{print $1, $(NF-1)}' demo.txt
root /root
daemon /usr/sbin
bin /bin
sys /dev
sync /bin

上面代码中,print命令里面的逗号,表示输出的时候,两个部分之间使用空格分隔。

变量NR表示当前处理的是第几行。

$ awk -F ':' '{print NR ") " $1}' demo.txt
1) root
2) daemon
3) bin
4) sys
5) sync

上面代码中,print命令里面,如果原样输出字符,要放在双引号里面。

awk的其他内置变量如下。

  • FILENAME:当前文件名

  • FS:字段分隔符,默认是空格和制表符。

  • RS:行分隔符,用于分割每一行,默认是换行符。

  • OFS:输出字段的分隔符,用于打印时分隔字段,默认为空格。

  • ORS:输出记录的分隔符,用于打印时分隔记录,默认为换行符。

  • OFMT:数字输出的格式,默认为%.6g

函数

awk还提供了一些内置函数,方便对原始数据的处理。

函数toupper()用于将字符转为大写。

$ awk -F ':' '{ print toupper($1) }' demo.txt
ROOT
DAEMON
BIN
SYS
SYNC

上面代码中,第一个字段输出时都变成了大写。

其他常用函数如下。

  • tolower():字符转为小写。

  • length():返回字符串长度。

  • substr():返回子字符串。

  • sin():正弦。

  • cos():余弦。

  • sqrt():平方根。

  • rand():随机数。

awk内置函数的完整列表,可以查看手册

条件

awk允许指定输出条件,只输出符合条件的行。

输出条件要写在动作的前面。

$ awk '条件 动作' 文件名

请看下面的例子。

$ awk -F ':' '/usr/ {print $1}' demo.txt
root
daemon
bin
sys

上面代码中,print命令前面是一个正则表达式,只输出包含usr的行。

下面的例子只输出奇数行,以及输出第三行以后的行。

# 输出奇数行
$ awk -F ':' 'NR % 2 == 1 {print $1}' demo.txt
root
bin
sync
​
# 输出第三行以后的行
$ awk -F ':' 'NR >3 {print $1}' demo.txt
sys
sync

下面的例子输出第一个字段等于指定值的行。

$ awk -F ':' '$1 == "root" {print $1}' demo.txt
root
​
$ awk -F ':' '$1 == "root" || $1 == "bin" {print $1}' demo.txt
root
bin

if 语句

awk提供了if结构,用于编写复杂的条件。

$ awk -F ':' '{if ($1 > "m") print $1}' demo.txt
root
sys
sync

上面代码输出第一个字段的第一个字符大于m的行。

if结构还可以指定else部分。

$ awk -F ':' '{if ($1 > "m") print $1; else print "---"}' demo.txt
root
---
---
sys
sync

一、时间戳及当地时间的转换
概念
时间戳(Timestamp)是一种表示时间的方式,通常是一个整数或浮点数,代表从某个固定时间点(通常是1970年1月1日00:00:00 UTC)起经过的秒数或毫秒数。时间戳是计算机系统中广泛使用的时间表示方法,它可以用来进行时间计算和比较。

     2.时间的两种表示方式

在计算机中,时间可以使用时间戳表示,也可以使用日期时间格式表示。日期时间格式是人类可读的时间表示方式,例如:"2019-11-10 03:42:40"。

二、时间类内置函数:mktime
在AWK中,可以使用mktime函数将日期时间格式的时间转换为时间戳。

示例:将 "2019-11-10 03:42:40" 转换成 epoch 时间(即1970-01-01 00:00:00):

# 定义日期时间格式的时间
date_time_str = "2019-11-10 03:42:40"
 
# 使用mktime函数将日期时间转换为时间戳
timestamp = mktime(date_time_str)
 
# 输出结果
print timestamp
输出结果:

1573344160
三、筛选给定时间范围内的日志实例
假设有以下日志实例:

实例1: 2023-08-05 12:30:15 实例2: 2023-08-06 09:15:20 实例3: 2023-08-06 09:15:25

现在我们要筛选出在 2023年8月6日 00:00:00 到 2023年8月6日 12:00:00 之间的日志。

# 定义时间范围的开始和结束
start_time_str = "2023-08-06 00:00:00"
end_time_str = "2023-08-06 12:00:00"
 
# 使用mktime函数将日期时间转换为时间戳
start_timestamp = mktime(start_time_str)
end_timestamp = mktime(end_time_str)
 
# 读取日志文件,每行包含日期时间和日志内容,以空格分隔
# 假设日志文件名为log.txt
awk -v start_ts=$start_timestamp -v end_ts=$end_timestamp '{ 
    # 提取日期时间字段
    log_time_str = $1 " " $2 
    
    # 使用mktime函数将日期时间转换为时间戳
    log_timestamp = mktime(log_time_str)
    
    # 判断是否在给定时间范围内
    if (log_timestamp >= start_ts && log_timestamp <= end_ts) {
        print $0  # 输出整行日志内容
    }
}' log.txt

 

练习

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值