Просмотр файлов журнала Unix

Question

Мы обсуждаем на работе, какой инструмент UNIX лучше всего подходит для просмотра файлов журнала. Одна сторона говорит, что используйте LESS, другая говорит, что используйте БОЛЬШЕ. Один лучше другого?

Answer 1

Распространенная проблема заключается в том, что в журналы записывается слишком много процессов, я предпочитаю фильтровать файлы журналов и контролировать вывод с помощью:

tail -f /var/log/<some logfile> | grep <some identifier> | more

Эта комбинация команд позволяет вам просматривать активный файл журнала, не перегружаясь выводом.

Answer 2

Multitail является лучшим вариантом, потому что вы можете просматривать несколько журналов одновременно.Он также раскрашивает вещи, и вы можете настроить регулярные выражения для выделения записей, которые вы ищете.

Answer 3

Я выбираю меньше. Причиной этого является то, что (с помощью lessopen) он может прочитать gzipped log (как заархивированный logrotate).

В качестве примера с помощью этой единственной команды я могу прочитать журнал dpkg в упорядоченном по времени режиме, не обрабатывая разархивированные файлы:

меньше $ (ls -rt /var/log/dpkg.log*) | меньше

Answer 4

Вы можете использовать любую программу: less, nano, vi, tail, cat и т. Д., Они отличаются по функциональности.Существует также много средств просмотра журнала: gnome-system-log, kiwi и т. Д. (Они могут сортировать логи по дате / типу и т. Д.)

Answer 5

Включить grep режим строчной буферизации.

1. Использование tail (мониторинг в реальном времени)

   tail -f fileName
   

2. Использование less (Мониторинг в реальном времени)

   less +F fileName
   

3. Использование tail & grep

   tail -f fileName | grep --line-buffered my_pattern
   

4. Использование less & grep

   less +F fileName | grep --line-buffered my_pattern
   

5. Использование часов и хвоста для выделения новых строк

   watch -d tail fileName 
   

   Примечание. Для систем Linux.

Answer 6

Поскольку ваш вопрос был в целом о «системах Unix», учтите, что в некоторых случаях у вас нет выбора, для старых систем доступно только БОЛЬШЕ, но не МЕНЬШЕ. LESS является частью инструментов GNU, БОЛЬШЕ исходит из UCB времен.

Answer 7

На моем Mac, используя стандартные окна терминала, есть одно различие между less и more, а именно, после выхода:

• less оставляет меньше беспорядка на моем экране
• more оставляет больше полезной информации на моем экране

Следовательно, если я думаю, что я мог бы захотеть что-то сделать с материалом, который я просматриваю после завершения просмотра (например, копировать'n'paste операции), я использую more;если я не хочу использовать материал после того, как я закончу, тогда я использую less.

Основным преимуществом less является возможность прокрутки назад;поэтому я склонен использовать less, а не more, но оба имеют для меня применение.YMMV (YMWV; W = В этом случае будет!).

Answer 8

меньше, это лучшее, ИМХО. Это легкий вес по сравнению с редактором, он позволяет перемещаться вперед и назад, имеет мощные возможности поиска и многое другое. Нажмите «h» для помощи. Это стоит того, чтобы ознакомиться с ней.

Answer 9

Меньше значит больше.Хотя с тех пор, когда я просматриваю свои логи, я, как правило, ищу что-то конкретное или просто интересуюсь последними несколькими событиями, но обнаруживаю, что использую cat, pipe и grep или tail, а не более или менее.