linux下日志文件的查找（tail和grep）

Posted 2021-06-26 月疯

grep的使用：

grep参数
-e: 使用正则搜索
-i: 不区分大小写
-v: 查找不包含指定内容的行
-w: 按单词搜索
-c: 统计匹配到的次数
-n: 显示行号
-r: 逐层遍历目录查找
-A: 显示匹配行及前面多少行, 如: -A3, 则表示显示匹配行及前3行
-B: 显示匹配行及后面多少行, 如: -B3, 则表示显示匹配行及后3行
-C: 显示匹配行前后多少行, 如: -C3, 则表示显示批量行前后3行

grep 同时满足多个关键字和满足任意关键字：

1、 grep -E "word1|word2|word3"   file.txt

   满足任意条件（word1、word2和word3之一）将匹配。

2、 grep word1 file.txt | grep word2 |grep word3

   必须同时满足三个条件（word1、word2和word3）才匹配。

 grep用于查找符合匹配的字符串：

一、或(or)操作
1、使用 \\|
grep 'a1\\|a2' filename     //找出文件（filename）中包含a1或者包含a2的行

2、使用选项 -E
grep -E 'a1|a2'filename    // 找出文件（filename）中包含a1或者包含a2的行

3、使用egrep
egrep 'a1|a2' filename     // 用egrep同样可以实现

4、使用选项 -e
使用grep -e 选项，只能传递一个参数。在单条命令中使用多个 -e 选项
grep -e a1 -e a2 filename  //使用-e选项实现

5、使用awk
awk '/a1|a2/' filename     // awk 的实现方式

备注：推荐使用方法3

二、与(and)操作
1、使用 -E 'par1.*par2'
grep命令本身不提供AND功能。但是，使用 -E 选项可以实现AND操作。
例1(其中两个pattern的顺序是指定的)：

grep -E 'a1.*a2' filename

例2(两个pattern的顺序不是固定的，可以是乱序的)：
grep -E 'a1.*a2|a2.*a1' filename

2、使用多个grep命令
grep "a1" filename | grep "a2"  //找出既匹配 a1 又匹配 a2 的行

三、非(not)操作
1、使用选项 grep -v
使用 grep -v 可以实现 NOT 操作。-v 选项用来实现反选匹配的（ invert match）。如，可匹配得到除下指定pattern外的所有lines。

grep -v 'par1' filename

2、将NOT操作与其他操作联合起来，以此实现更强大的功能组合
示例(将得到：'a1或者a2，但是不是a3'的结果)：
egrep 'a1|a2' filename | grep -v a3

四、其他操作
grep -i pattern files  //不区分大小写地搜索，默认情况区分大小写；
grep -l pattern files  //只列出匹配的文件名；
grep -L pattern files  //列出不匹配的文件名；
grep -w pattern files  //只匹配整个单词，而不是字符串的一部分（如匹配‘magic’，而不‘magical’）；
grep -C number pattern files //匹配的上下文分别显示[number]行。

 tail的用法：

tail -f xxx.log             ----实时刷新最新日志
tail -100f xxx.log      --------实时刷新最新的100行日志
tail -100f xxx.log | grep [关键字]     -------查找最新的一百行中与关键字匹配的行
tail -100f xxx.log | grep '2019-10-29 16:4[0-9]'    ------查找最新的100行中时间范围在2019-10-29 16:40-2019-10-29 16:49范围中的行
tail -1000f xxx.log | grep -A 5 [关键字] ----------查看最新的1000行中与关键字匹配的行加上匹配行后的5行

tail：用于查看文件的内容 

-f 循环读取
-q 不显示处理信息
-v 显示详细的处理信息
-c<数目> 显示的字节数
-n<行数> 显示文件的尾部 n 行内容
--pid=PID 与-f合用,表示在进程ID,PID死掉之后结束
-q, --quiet, --silent 从不输出给出文件名的首部
-s, --sleep-interval=S 与-f合用,表示在每次反复的间隔休眠S秒

亲测：

1、tail -f log_20210606.log(实时的日志)

2、tail -f log_20210606.log | grep '8ee3057c3d304f108d6a38daf1440557'（根据条件查询日志）

3、grep  -E '2021-06-06 02:5[8-9]:[0-5][0-9]|2021-06-06 07:0[0-5]:[0-5]0' log_20210606.log