<div dir="ltr">мне не для суммарной статистики по типу ошибок. Мне надо анализировать логи с точки зрения событий, которые имеют хоть какое-то отношение к информационной безопасности (события передатся в SIEM для дальнейшей корреляции и анализа). Для основного лога я уже написал парсер (используется нестандартный формат лога), а вот для error как-то не выходит, потому что я не могу точно понять, как разделены поля (и разделены ли вообще), фиксировано ли количество полей или нет, что некоторые из них обозначают и т.п.</div>
<div class="gmail_extra"><br><br><div class="gmail_quote">18 января 2013 г., 16:19 пользователь Anton Yuzhaninov <span dir="ltr"><<a href="mailto:citrin@citrin.ru" target="_blank">citrin@citrin.ru</a>></span> написал:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 01/18/13 00:24, Михаил Монашёв wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Если в парсере заменять все числа, строки в<br>
кавычках и строки, идущие от двоеточия до запятой и не содержащие<br>
пробелов на ХХХ, то получится свернуть всё разнообразие сообщение в<br>
несколько шаблонных фраз. Ну и ради примера приводить одну несвёрнутую<br>
ошибку ещё можно. Полезная тулза, кстати получится.<br>
</blockquote>
<br></div>
Для суммарной статистики по числу ошибок разного типа сейчас использую такой скрипт:<br>
<br>
sed -E 's/.* (.*) [0-9]*#0: /\1 /' < $ERROR_LOG \<br>
| sed 's/ \*[0-9]* / /; s/, client: .*//; s/"[^"]*"/"..."/g;' \<br>
| sort | uniq -c | sort -rn<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
Anton Yuzhaninov</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
______________________________<u></u>_________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/<u></u>mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div>