如何编写通用日志分析器

AWStats是一个很棒的日志解析器，开源，您可以使用它生成的结果数据库执行任何操作。

例如，您可以使用扫描仪和一些正则表达式。 这是我解析一些复杂日志所做的一小部分：

 private static final Pattern LINE_PATTERN = Pattern.compile( "(\\S+:)?(\\S+? \\S+?) \\S+? DEBUG \\S+? - DEMANDE_ID=(\\d+?) - listener (\\S+?) : (\\S+?)"); public static EventLog parse(String line) throws ParseException { String demandId; String listenerClass; long startTime; long endTime; SimpleDateFormat sdf = new SimpleDateFormat(DATE_PATTERN); Matcher matcher = LINE_PATTERN.matcher(line); if (matcher.matches()) { int offset = matcher.groupCount()-4; // 4 interesting groups, the first is optional demandeId = matcher.group(2+offset); listenerClass = matcher.group(3+offset); long time = sdf.parse(matcher.group(1+offset)).getTime(); if ("starting".equals(matcher.group(4+offset))) { startTime = time; endTime = -1; } else { startTime = -1; endTime = time; } return new EventLog(demandeId, listenerClass, startTime, endTime); } return null; } 

因此，使用正则表达式和组，它可以很好地工作。

如果您有可能（并且您应该使用良好的记录器框架），我建议您以可分析的格式复制日志。 例如，使用log4j使用XMLLayout或类似的东西。 解析会更容易，因为这样你就会知道日志的确切格式。

您可以通过安装程序对运行的应用程序完全透明地执行此操作。 考虑使用异步appender以免干扰正在运行的应用程序。

此外，如果XMLLayout可以满足您的需求，请查看Apache电锯

Log4j的LogFilePatternReceiver正是这样做的……

此日志条目：17-11-2011 14:07:14错误MyXmlParser – 文件过早结束

可以使用以下logformat进行解析（假设origin与’logger’相同），时间戳利用Java的SimpleDateFormat为dd-MM-yyyy kk：mm：ss

TIMESTAMP LEVEL LOGGER – 消息

时区和另一种forms的级别有点诡计……有能力将字符串重新映射到级别（E到ERROR），但我不知道时区会完全奏效。

尝试一下，查看源代码，并在Chainsaw的最新开发者快照中使用它的支持：

http://people.apache.org/~sdeboy

我最后没有编写自己的并使用logstash 。

在工作中，我们推出了自己的日志解析器（使用Java），因此我们可以从生产日志中过滤已知的堆栈跟踪，以识别新的潜在生产问题。 它使用正则表达式，并与我们的log4j日志格式紧密耦合。

我们还有一个python脚本，当特定错误的计数过高时，它会在实时生产事务日志和报告（到SiteScope – 我们的基础结构监视工具）上运行。

虽然两者都很有用，但它们维护起来很糟糕，我建议首先尝试使用任何开源工具解析工具，并在必要时尝试编写自己的解析工具。 哎呀，我甚至会为这样做的工具买单 ;）

也许你可以写一个Log4j CustomAppender？ 例如，如下所述： http ： //mytechattempts.wordpress.com/2011/05/10/log4j-custom-memory-appender/

您的自定义appender可以使用JMX查询的数据库或简单Java对象来获取统计信息。 所有这些都取决于需要保留多少数据。