|
|
|
|
移动端

1.4.4 LogParser 应用举例(1)

《UNIX/Linux网络日志分析与流量监控》第1章网络日志获取与分析,本章将介绍如何获取并分析各类系统的日志。学习好本章内容,将为后续章节的案例分析打下良好的基础。本节为大家介绍LogParser 应用举例。

作者:李晨光来源:机械工业出版社|2014-11-26 16:57

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

1.4.4 LogParser 应用举例(1)

应用一:在命令行下统计用抓包软件保存的数据包(a.cap)中源端口发送数据包的量。为了保持原格式不变化,按图1-15 所示输入命令。

执行完成后会在当前目录下生成名为a.csv 的文件,它可以在DOS 下打开,也可以在文本编辑器中打开。


  1. C:\Program Files (x86)\Log Parser 2.2>type a.csv  
  2. SrcPort,COUNT(ALL *) 

  1. 443,176  
  2. 1490,76  
  3. 80,63  
  4. 1496,5  
  5. ...... 

应用二:输出系统的安全日志。LogParser 本身支持Windows 事件日志,所以写查询安全日志十分简单。只需要输入命令行:

  1. C:\>LogParser "SELECT 'Event ID:', EventID,SYSTEM_TIMESTAMP(),message FROM security" –  
  2. i:EVT –-o datagrid 

注意,下面要在LogParser 命令中编写SELECT 子句。这个子句在输入日志中指定一个字段的逗号分隔列表作为查询的输出。

执行完这条命令,会显示日志输出条数和执行时间,同时系统会弹出一个内容为安全日志的窗口。如图1-16 所示。

应用三:获得系统日志的分类详细信息。当我们需要将每个事件ID 记录为一个列表,就需要有一种能从结果中删掉重复内容的方法。LogParser 用DISTINCT 关键字来解决这个问题。为了从结果集中删掉重复内容,只需在SELECT 之后插入DISTINCT 这个关键字。

  1. C:\LogParser "SELECT DISTINCT SourceName,EventID,SourceName,message INTO Event_*.csv  
  2. FROM security"-i:EVT –o:CSV 

以上命令执行效果,如图1-17 所示。

注意,DISTINCT 关键字只是应用在你指定的SELECT 子句字段后面,而不能在其他的子句如WHERE、ORDER BY、GROUP BY 或HAVING 中使用。LogParser 能自动识别Windows 时间日志的字段名,例如EventLog 、RecordNumber 、EventID 、EventType 、ComputerName、SID 和Message 等。LogParser 还可以识别IIS 产生的日志的字段名。

大家在看了这几个例子后可以动手实验一下。 LogParser 的语法十分简单,它唯一的命令参数就是SELECT 语句,你必须把它放在引号内,而且它区分大小写。LogParser 的SELECT 语句包含两个参数,分别为SELECT 和FROM,格式见下面的例子:

  1. SELECT clause FROM clause [TO clause] [WHERE clause] [GROUP BY clause] [HAVING  
  2. clause][ORDER BY clause] 

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

.NET for Flash动态网站开发手札

本书深入浅出地说明了如何利用.NET、Flash及XML来辅助Flash富媒体应用程序的开发。 本书首先介绍了Flash影片应用程序与.NET应用程序结合的...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊