求助：log日志字段提取，脚本

doking2008

log.rar (1.54 KB, 下载次数: 29)

2010-08-31 11:21 上传

点击文件名下载附件

我希望从下面的日志中得到：
aug 27，  17:58:07，abc.com.cn，2284 ，Warning(error)，最后的日志描述
第一份分割点是空格，第二个分割点是1.1.1.1，第三个分割点是MS开头...2010结尾字符串，第四个分割点是2010后面字母开头到User N/A（或User）结尾字符串，第五个是空格。



Aug 27 17:58:07 1.1.1.1 abc.com.cn MSWinEventLog        2        Application        3171        Fri Aug 27 17:58:01 2010        2284        W3SVC-WP        Unknown User        N/A        Warning        abc.com.cn        None        0000: 50 00 07 80 00 00 00 00   .......          FailedRequestTracing module failed to write buffered events to log file for the request that matched failure definition. No logs will be generated until this condition is corrected. The problem happened at least 1 times in the last 5 minutes. The data is the error.          3123  


Aug 27 17:58:19 1.1.1.1 bcd.com.cn MSWinEventLog        2        System        160        Fri Aug 27 17:52:58 2010        8        Print        SYSTEM        User        Warning        bcd.com.cn        None                打印机 Microsoft XPS Document Writer (已重定向 2) 的打印队列中的作业已删除。不需要用户操作。  若要停止记录打印后台处理程序的警告事件，请在“控制面板”中打开“打印机”，右键单击窗口的一块空白区域，单击“以管理员身份运行”，单击“服务器”属性，单击“高级”选项卡，然后清除记录后台处理程序警告事件复选框。          108  


Aug 27 19:48:57 1.1.1.1 ddd.com.cn MSWinEventLog        2        Application        4382        Fri Aug 27 19:48:45 2010        20000        BlackBerry Policy Service        Unknown User        N/A        Warning        ddd        None                {part@eee.com.cn, PIN=205CCF0A, UserId=38}


Aug 28 06:00:36 1.1.1.1 ddd.com.cn MSWinEventLog        2        Application        4565        Sat Aug 28 06:00:23 2010        16068        BlackBerry Synchronization Service        Unknown User        N/A        Error        ddd        None                [SYNC-Gate] Failed to get last ChangeNumber from SyncServerState table, can't continue to check user config change.          4558

expert1

你这数据好乱啊，你用代码括起来，应该很简单的问题吧。

doking2008

乱才要整理啊，因为是syslog进过中转，多了一个1.1.1.1的中转IP，本来我可以直接导入mysql的。

expert1

回复 3# doking2008


   不是，你误会了，我是说：“你把贴的数据整清晰明了点，让大家看了也容易帮你解决问题。”

doking2008

我加了几个回车，这样一条条日志比较容易区分。

wqfhenanxc

回复 1# doking2008


    awk -F"  +"   '{gsub(/1\.1\.1\.1 /,"",$1);gsub(/MS.*Log/,"",$1);print $1" "$6" "$10}' test

bbgg1983

这么复杂，头都晕了

doking2008

[root@yinjisvn home]# awk -F"  +"   '{gsub(/1\.1\.1\.1 /,"",$1);gsub(/MS.*Log/,"",$1);print $1" "$6" "$10}'  6.txt
Aug 27 17:58:07 abc.com.cn  2284 Warning
  
  
Aug 27 17:58:19 bcd.com.cn  8 Warning
  
  
Aug 27 19:48:57 ddd.com.cn  20000 Warning
  
  
Aug 28 06:00:36 ddd.com.cn  16068 Error

前面问题，就是少了最好的日志描述，谢谢啊

doking2008

wqfhenanxc ，真是太感谢了，呵呵，描述不用太严格，格式差点没关系，有就可以了，就是不要漏了。
再次感谢高手啊。

doking2008

我在自己全log的机器上运行，还是有很大问题啊？