如何尾随 -fa 文件（或类似文件）指定的时间间隔？

Question

我正在努力向我们的系统添加一些 nagios 警报——其中一些警报将监视命中 nginx/apache 日志的某些事件的速率（或解析这些日志中的值）。到目前为止，我解决问题的方法是一个简单的 shell 脚本 tail -f'ing 将日志保存到临时文件大约 25 秒，终止进程，然后在临时文件上运行 awk 等。 这里的目标是在 25 秒内获取日志“样本”，然后进行分析。

这显然不太理想，因为这些临时文件导致磁盘 IO 的增加——我真正想要的是一个“增强的”tail -f，它将在一定秒数后干净地终止管道。 即：

tail -f --interval '5 秒' | grep "/serve"

会跟踪日志 5 秒钟，并显示所有包含“/serve”的行。

我想我可以快速编写一个 ruby​​ 脚本来完成此任务，但我想确保没有更统一的方法来完成此任务。 在较高的层面上，是否有更好的方法来从最后 N 秒中获取日志样本（不，我不想解析时间戳等）

Answer 1

找到了解决方案。 “apt-get install timeout”:)

编辑：实际上这会杀死 tail，不会导致它正常退出，所以我们丢失了整个管道。 我想要的工作是：

timeout -15 5 tail -f /mnt/log/nginx/nginx-access.log | grep '/javascripts' | grep '/javascripts' | wc -l

告诉我过去 5 秒内服务了多少个 javascript 文件等。

Answer 2

稍微不同的方法：

(tail -f /var/log/messages & P=$! ; sleep 5; kill -9 $P) | grep /serve

Answer 3

我认为，作为 Nagiios 用户，您不希望探测进程暂停任意时间。 在最坏的情况下，这将使 Nagios 减少检查其他事情的频率，或者“集中”检查。

一个快速（立即）运行并解析文件最后几行、仅返回时间戳晚于给定时间的有趣内容的脚本怎么样？

Answer 4

GNU 的 tail 有一个 --pid 标志可用于此目的（一旦具有该 PID 的进程不再存在，tail 将退出）。 只需在后台启动一个 sleep 进程，并告诉 tail 退出即可。 就像这样：

sleep 5 & tail --pid=$! -f /var/log/system.log

当超时时，tail 将退出并显示 0 退出代码。