对于一个开发或运维人员而言,当系统出现故障时,第一步往往就是查看日志.查看日志常常遇到的一个需求就是按关键字去搜索,在日常开发机子上的IDE上,都集成了强悍的搜索功能,但由于系统一般布署在Linux系统上,通常只有命令行界面,在其上应当如何去搜索呢?似乎有些朋友就不是这么清楚了.

有些人会用ftp之类的把日志下载出来本地再搜索,假如是小一点的文件还好,但日志文件常常都比较大,因而这样的方法无疑是极为低效的.

下边就介绍一种相对快捷的方法,也不须要用到非常中级的命令,仅须要tail和grep两个命令结合上去即可,能达到这样一个疗效:

能按关键字搜索;

在显示关键字所在行时能够高亮关键字;

能把关键字所在行的上下文,例如上下10行的内容也一起显示下来.

下边是一个疗效示意图:

在这儿,我用我云主机的nginxaccesslog做了个示范,我搜索一篇文章url的关键字”a-port”,之后显示出搜索的结果及上下文,可以看见关键字被标红显示,上下文也有显示,多个搜索结果间以红色的短横间隔开来.

下边具体谈谈怎样实现这样的搜索,先具体讲讲各个命令及参数,再谈谈怎样结合上去,最后还给出一个脚本化的中级用法.

tail命令

首先是tail命令.由于查看日志一般从前面最新的日志去看,tail命令就是从后向前找.

例如下列命令会显示access.log的最后10行的内容:

tailaccess.log

tail指定行数

默认情况下,tail只会显示最后的10行,对于一个日志好多的应拿来说,这可能是不够的,因此我们须要搜索更多的行.

假如想实时查看日志,可以参考之前的这篇文章使用tail-f实时观测服务器日志输出

tail可以结合-n参数指定一个行数,例如下列命令会显示最后的30行的日志:

tail-n30access.log

注:假如不太能记住参数,还可以使用-n的完整命令参数--lines:

tail--lines30access.log

grep命令

tail仅能复印显示日志,好多时侯这是不够的grep 命令参数,日志一般特别多,并且好多是没有用,我们还须要能过滤,或则说搜索筛选日志的内容,这时就可以使用grep命令.

grep命令的基本用法是这样的.如果你有一个文件index.html,你想在其中搜索一个关键词official,你可以这样用:

grepofficialindex.html

结果如下:

它会把关键字所在行给你显示下来,并高亮关键字.

关于高亮问题,倘若缺省没有高亮,则可以自行加入--color选项,像这样:grep--colorofficialindex.html

注意,一般不要直接用grep命令去搜索整个日志文件,由于日志文件一般很大,并且grep也是从开头开始搜索的,因而可能搜索出一大堆你不感兴趣的历史记录.

前面将介绍怎样结合tail和grep命令以缩小搜索范围.

带有空格的关键字

假如关键字有多个词组并带有空格,可以使用''单冒号造成来,比如:

grep'englishversion'index.html

grep显示上下文

有时,我们不但要找出关键子所在行,并且还想显示所在行上下的一些行.

这在查找异常信息时十分常见,一方面异常栈会复印成特别多行,另外我们一般须要前前后后都看一下究竟发生了哪些.

这时可以使用grep的-NUM参数来实现,如下:

grep-5officialindex.html

或则是使用-C

grep-C5officialindex.html

它表示,不但要找出official关键字所在行,还要把所在行前后的5行都显示下来.

后接的数字5就表示前后5行,假如是-10就表示前后10行

结果如下:

grep显示行号

为了更清晰地呈现,还可以选择显示行号,用-n参数,如下:

grep-5-nofficialindex.html

结果如右图:

可以看见,official关键字在21行,行头的行号还非常以逗号”:”标出;据悉,关键行的前5行(16~20)和后5行(22~26)也一并显示了下来.

假如我们是在跟踪一个异常,这种上下文的信息可能会提供好多帮助.

管线符的使用

如今早已介绍完了tail和grep命令,但还有一个问题,倘若直接在日志文件中去grep的话,由于文件一般非常大,但是好多历史数据可能不是我们想要的,因而最好的方法是先用tail得到前面的这些行,之后把tail下来的结果再交给grep命令去过滤,而管线符可以实现这个目的,管线符在命令行中就是一个”竖杠”:|.

它可以把两个命令结合上去,把请一个命令的输出当成后一个命令的输入.

用管线符|结合tail和grep命令

用管线符结合tail和grep命令可以这样去写:

tailerror.log|grepstream

注意:grep之前的竖杠|.

上述命令会把tail下来的最后10行的内容交给grep去搜索过滤,并找出其中富含stream关键字的行,结果如下:

结合上面所讲,假如想在更大范围搜索并显示关键字的上下文,最终可以这样去写:

tail-n20error.log|grep-3stream

以上命令在最后20行中去搜索stream关键字并显示关键字所在行及上下各3行的内容,结果如下:

中级用法

有了以上命令,要搜索异常信息就简单了不少,并且更容易观察,不过还是有一个问题,就是整个命令还是太长了些,假如想进一步简化,则可以考虑将整个命令弄成一个脚本,并将部份参数值参数化,这就带有一定的编程的气味了,好在这对于我们程序员来说,不算太难的事,甚至是我们的日常,下边谈谈怎样去实现.

先说下疗效,我们会编撰一个脚本叫search.sh

其实这个名子你可以自己去取

之后这样去用:

./search.shstream203

之后其疗效如同执行下列命令一样:

tail-n20error.log|grep-3stream

若果不准备传入行数及上下文的数量,而使用脚本中定义的缺省值,整个命令还可以简化成:

./search.shstream

仅须要传入要搜索的关键字即可,其它参数保持缺省.

自定义命令

就以搜索我本机上的nginx的error.log为例吧,首先创建一个脚本文件search.sh

touchsearch.sh

文件的内容如下:

#!/bin/bash

ug消除参数命令_grep 命令参数_grep命令参数详解

cd/usr/local/nginx/logs

tail-n20error.log|grep--color-3stream

注意:装入脚本文件时,假如没有高亮,须要自行加上--color选项

逻辑也比较简单,就是先步入error.log所在文件夹,之后执行查找.

有了cd命令,就可以直接把脚本置于远程登陆后的用户目录下,例如/root下,这样进去了就可以直接执行,连步入文件夹的动作也省略了.

另外,倘若不想用cd命令,也可以在tail中写上完整路径名.

其实,如今脚本还是比较死的,搜索的关键字被写死了.不过目前来说,我们先测试其它方面,先把文件改成可执行的:

chmod755search.sh

之后可以先执行一遍瞧瞧是否ok,倘若ok了,再下一步打算把关键字参数化.

./search.sh

参数传递

如今须要把搜索的关键字给参数化,不然执行脚本时,一直只能搜索'stream'这个关键字,这其实不是我们希望的.

假如是用我们熟悉的语言,例如java,javascript,写一个可以接收参数的函数是很简单的,虽然对于bash这些脚本语言来说,主要的问题是我们不熟悉其句型,这个只要稍稍查下它的指南或是在网上搜索下即不难晓得.

过程就不提了,具体而言是这样的:

#!/bin/bash

cd/usr/local/nginx/logs

tail-n20error.log|grep--color-3$1

就是把stream这个写死的关键字弄成一个变量$1,自然$符号就是bash跟定义变量有关的.

自然,你应当能猜到,假如想传递更多的参数,就用$2,$3,以这种推.

之后你这样

./search.shhello

这么脚本文件名前面跟的字符串'hello'都会传递给$1这个变量,于是就相当于执行了:

tail-n20error.log|grep--color-3hello

同理,可以把tail的行数和grep的上下文的行数也参数化:

#!/bin/bash

cd/usr/local/nginx/logs

tail-n$2error.log|grep--color-$3$1

这么一来,当执行下列命令时:

./search.shhello100010

就相当于:

tail-n1000error.log|grep--color-10hello

也即在日志文件的最后1000行里搜索,并显示关键行上下各10行的内容.

缺省值及判定逻辑

自然,好多时侯可能只想传递关键字即可,当把tail的行数和grep的上下文的行数也参数化后,每次调用也要传递它们是不便捷的,当假如把它们写死的话,有时我们可能又须要适当变化,这个矛盾如何解决呢?答案是借助缺省值和逻辑判定.

若果是常用的语言,如javagrep 命令参数,javascriptlinux下载工具,写个这些判定相信对你来说是个再简单不过的事red hat linux下载,对于bash这些脚本语言,最大的问题还是我们不熟悉其句型,这么这个还是跟之前说的那样,查查指南,或搜索下,过程就省略了,具体来说,可以这样:

#!/bin/bash

lineCount=1000

if[$2];then

lineCount=$2

fi

contextCount=10

if[$3];then

contextCount=$3

fi

cd/usr/local/nginx/logs

tail-n$lineCounterror.log|grep--color-$contextCount$1

简单说就是定义两个变量lineCount和contextCount,分别具有1000和10两个缺省值,之后借助if判定用户是否输入了第二和第三个参数,假如有,就用它们的值替代缺省值,没有的话就使用缺省值,这样一来就比较灵活了.

假如只输入了关键字:

./search.shhi

结果就是这样:

tail-n1000error.log|grep--color-10hi

输入两个参数:

./search.shhello300

结果就是这样:

tail-n300error.log|grep--color-10hello

输入三个参数:

./search.shhey5008

结果就是这样:

tail-n500error.log|grep--color-8hey

其实还是有个问题,当你想只调整第三个参数时,你还是必须得传入第二个参数,否则传入的值只会被第二个参数优先获得.

命令输出

最后,假如你想在执行前回显一下即将执行的命令,还可以借助echo这个命令来实现,它同样支持变量:

#!/bin/bash

lineCount=1000

if[$2];then

lineCount=$2

fi

contextCount=10

if[$3];then

contextCount=$3

fi

cd/usr/local/nginx/logs

echo”=========tail-n$lineCounterror.log|grep--color-$contextCount$1″

tail-n$lineCounterror.log|grep--color-$contextCount$1

这样一来,执行前都会先复印出即将执行的命令.

总结

综上所述,从单个命令到复合命令,再到脚本化和参数化,似乎是用了编程中的具象这一手法,这是我们解决重复性以及解决复杂性的一种重要手段.

当一个命令或几个的复合命令比较冗长时,我们就用一个脚本文件去做具象,保留不变的东西,把变化的东西参数化,外部化,通过这样的方法,就简化了执行(调用)的过程,降低了重复.

虽然,假如你常常须要查找日志的话,输入简单的./search.shfoo比反复输入这么之长的一串tail-n1000error.log|grep--color-10foo要便捷快捷的多.

作为一名程序员,降低重复是我们的天职,我们应当是怕重复,怕麻烦的,某种意义上,我们应当是”懒惰”的:

还记得Perl语言的发明人LarryWall的话吗:”优秀程序员应当有三大美德:懒惰、急躁和傲慢(laziness,impatienceandhubris)”

更多关于具象及重复的话题,可以参考之前计算机科学及重复性管理专题,关于使用tail结合grep查找日志关键字并高亮及显示所在行上下文就介绍到这儿.

Author

这篇优质的内容由TA贡献而来

刘遄

《Linux就该这么学》书籍作者,RHCA认证架构师,教育学(计算机专业硕士)。

发表回复