如何转换audit.log里的时间？

yoursmile

操作系统：rhel5

1. #more /var/log/audit/audit.log
   
2. type=DAEMON_START msg=audit(1216641433.066:6623): auditd start, ver=1.6.5 format=raw kernel=2.6.18-92.el5 auid=4294967295 pid=1737 r
   
3. es=success
   
4. type=CONFIG_CHANGE msg=audit(1216641433.166:4): audit_enabled=1 old=0 by auid=4294967295 subj=system_u:system_r:auditd_t:s0 res=1
   
5. type=CONFIG_CHANGE msg=audit(1216641433.175:5): audit_backlog_limit=320 old=64 by auid=4294967295 subj=system_u:system_r:auditctl_t:
   
6. s0 res=1
   
7. type=USER_AUTH msg=audit(1216641484.234:6): user pid=2432 uid=0 auid=4294967295 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023
   
8. msg='PAM: authentication acct="root" : exe="/bin/login" (hostname=?, addr=?, terminal=tty1 res=success)'

复制代码

问题：这个格式里的时间是unix时间戳，通过怎样的转换，可以把这个日志里的时间直接显示成2008年 07月 26日 星期六 19:33:36 CST这样的格式，方便阅读。

walkerxk

用perl可以：
time.pl:
s/(1\d{9})/localtime($1)/e
echo 1234567890|perl -p time.pl
Sat Feb 14 07:31:30 2009

yoursmile

没有对应的小命令直接转换吗？类似qmail的日志格式，有tai64nlocal直接转换。
又要写脚本。。。。把audit.log通过管道转换输出。。。唉。。。

walkerxk

至少我还没有碰到，为了解决问题，我向来不择手段的，管他是脚本还是命令。
对了我的命令为了过滤一部分不是时间的数字串，所以在Wed May 18 11:33:19 2033前有效，如果在这个时间后，把1\d{9}改成\d{10}就行了。
为什么一定要通过管道输出？脚本和命令执行是一样的，就像gunzip，其实就是一个脚本。很多命令其实都是脚本。

yoursmile

你的小脚本搞的不错.谢谢
我一直习惯用more /var/log/audit/audit.log|perl -p time.pl
现在知道了,也可以perl -p time.pl  /var/log/audit/audit.log
谢谢你~

walkerxk

more只能显示一屏吧？如果要显示全部，用cat，如果是显示一屏，用less，功能比more强得多。

yoursmile

more 先入为主,习惯很难改掉,呵呵
一般用more,head,tail就够用了,在需要显示行号的时候才想到用cat
less也确实不错,以后尽量多用用这个替换more

walkerxk

从dos带过来的习惯吧，呵呵，我一开始也是用more的，后来才知道less这个命令。

yoursmile

是的。呵呵.dos时代type **|more 那是相当的实用啊。

walkerxk

恩，edit、type、copy con、attrib……都是很有用的工具。现在还在郁闷为什么linux一定要用mkdir，而不是md。