Filtern Sie Protokolldateieinträge basierend auf dem Datumsbereich

ja, es gibt mehrere Möglichkeiten, dies zu tun. Hier ist, wie ich gehen würde, über diese. Für den Anfang, keine Notwendigkeit, leiten Sie die Ausgabe von cat, öffnen Sie einfach die log-Datei mit awk.

awk -vDate=`date -d'now-2 hours' +[%d/%b/%Y:%H:%M:%S` '$4 > Date {print Date, $0}' access_log

vorausgesetzt, dein log sieht aus wie meins (Sie sind konfigurierbar) als Datum gespeichert ist, die in Feld 4. und ist eingeklammert. Was ich mache, der oben zu finden, ist alles innerhalb der letzten 2 Stunden. Note the -d'now-2 hours' oder wortwörtlich übersetzt jetzt minus 2 Stunden, was für mich so aussieht: [10/Oct/2011:08:55:23

Also, was ich mache, ist die Speicherung der formatierte Wert von zwei Stunden und der Vergleich gegen das Feld vier. Der bedingte Ausdruck sollte unkompliziert sein.Ich bin dann drucken Sie das Datum, gefolgt von der Ausgabe Feld-Trennzeichen (OFS-oder-Raum in diesem Fall), gefolgt von die ganze Zeile $0. Sie können Ihre vorherigen Ausdruck und nur print $1 (ip-Adressen)

awk -vDate=`date -d'now-2 hours' +[%d/%b/%Y:%H:%M:%S` '$4 > Date {print $1}' | sort  |uniq -c |sort -n | tail

Wenn Sie wollten, verwenden Sie eine Palette angeben, die zwei Datums-Variablen und bauen Ihre Ausdrucks angemessen.

also, wenn Sie wollten etwas finden, zwischen 2-4 Stunden vor Ihrem Ausdruck könnte wie folgt aussieht

awk -vDate=`date -d'now-4 hours' +[%d/%b/%Y:%H:%M:%S` -vDate2=`date -d'now-2 hours' +[%d/%b/%Y:%H:%M:%S` '$4 > Date && $4 < Date2 {print Date, Date2, $4} access_log'

Hier ist eine Frage, die ich beantwortet in Bezug auf Termine, in der bash, die Sie hilfreich finden könnte.
Druck-Datum für den Montag der aktuellen Woche (in der bash)

InformationsquelleAutor der Antwort matchew

Da dies ein gemeinsamen perl Aufgabe

Ist und weil das ist nicht genau dasselbe, als extrahiert die letzten 10 Minuten vom logfile wo es sich um einen Haufen Zeit bis zum Ende des logfile.

Und da habe ich Sie brauchte, ich (schnell) schrieb:

#!/usr/bin/perl -ws
# This script parse logfiles for a specific period of time

sub usage {
    printf "Usage: %s -s=<start time> [-e=<end time>] <logfile>\n";
    die $_[0] if $_[0];
    exit 0;
}

use Date::Parse;

usage "No start time submited" unless $s;
my $startim=str2time($s) or die;

my $endtim=str2time($e) if $e;
$endtim=time() unless $e;

usage "Logfile not submited" unless $ARGV[0];
open my $in, "<" . $ARGV[0] or usage "Can't open '$ARGV[0]' for reading";
$_=<$in>;
exit unless $_; # empty file
# Determining regular expression, depending on log format
my $logre=qr{^(\S{3}\s+\d{1,2}\s+(\d{2}:){2}\d+)};
$logre=qr{^[^\[]*\[(\d+/\S+/(\d+:){3}\d+\s\+\d+)\]} unless /$logre/;

while (<$in>) {
    /$logre/ && do {
        my $ltim=str2time($1);
        print if $endtim >= $ltim && $ltim >= $startim;
    };
};

Dies könnte verwendet werden, wie:

./timelapsinlog.pl -s=09:18 -e=09:24 /path/to/logfile

für das drucken von Protokollen zwischen 09h18 und 09h24.

./timelapsinlog.pl -s='2017/01/23 09:18:12' /path/to/logfile

für den Druck von january 23th, 9h18'12" bis jetzt.

Zur Verringerung perl-code, die ich verwendet habe -s Schalter erlauben die automatische Zuordnung von Variablen von der Kommandozeile: -s=09:18 füllt eine variable $s wich enthalten 09:18. Pflege, um nicht zu verpassen die Gleichheitszeichen = und keine Leerzeichen!

Nota: Diese halten zwei diffent Art von regex für zwei verschiedene Protokoll-standard. Wenn Sie benötigen verschiedene Datum/Zeit-format Parsen, entweder posten Sie Ihre eigenen regex oder nach einer Probe mit formatiertem Datum von Ihrem logfile

^(\S{3}\s+\d{1,2}\s+(\d{2}:){2}\d+)         # ^Jan  1 01:23:45
^[^\[]*\[(\d+/\S+/(\d+:){3}\d+\s\+\d+)\]    # ^... [01/Jan/2017:01:23:45 +0000]

InformationsquelleAutor der Antwort F. Hauri