tail命令的妙处！

发布时间：2023-10-30 10:35:37 所属栏目：Linux 来源：网络

导读： 　　想象归想象，如果你想要一个快速的实时日志收集工具，那tail确实是个非常棒的工具。它比什么flume、logstatsh，比什么filebeat之类的，快捷的多。事实上，在工具缺乏的旧年代，我就曾经

　　想象归想象，如果你想要一个快速的实时日志收集工具，那tail确实是个非常棒的工具。它比什么flume、logstatsh，比什么filebeat之类的，快捷的多。事实上，在工具缺乏的旧年代，我就曾经这么干过，而且它工作的很好。

　　下面是一段使用Java语言书写的代码。我们可以按行读取日志，然后使用自己喜欢的语言，做任何事情。

　　import java.io.BufferedReader;

　　import java.io.InputStreamReader;

　　public class TailReader {

　　    public static void main(String[] args) throws Exception {

　　        ProcessBuilder ps = new ProcessBuilder("tail", "-f", "/tmp/tail0");

　　        //把错误输出也打印

　　        ps.redirectErrorStream(true);

　　        Process process = ps.start();

　　        //持续读取tail的输出

　　        try (BufferedReader in = new BufferedReader(new InputStreamReader(process.getInputStream()))) {

　　            String line;

　　            while ((line = in.readLine()) != null) {

　　                setLogToKafka(line);

　　                //注意这里不要产生异常，否则会打断while循环

　　            }

　　        }

　　    }

　　    //模拟发送到kafka，我们这里只简单的打印出来

　　    static void setLogToKafka(String line) {

　　        System.out.println(line);

　　    }

　　}

　　主要的思想，就是使用Java的Process启动一个子tail进程，一直监控着文件的输出。然后把标准输出和标准错误流，全部定向到BufferedReader中。接下来，你能做你想要做的任何事。

　　这有一定的风险，假如tail命令被杀掉了，我们的Java程序就失去了作用。

　　程序很简单，但xjjdog在这里讨论的却不是这个简单的收集程序，而是tail命令的一些有趣的特性，你可以从中一窥一些日志收集工具对文件的特殊处理。

　　你知道tail -f和tail -F的区别么?

　　在回答这个问题之前，我们先回忆一下，Java常用的日志框架，对日志的处理。

　　truelogFile.%d{yyyy-MM-dd}.log303GB%-4relative [%thread] %-5level %logger{35} - %msg%n

　　上面的配置，将在每晚凌晨的时候，滚动形成一个新的文件。

　　那这个滚动，是如何做的呢?我们可以收工模拟这个过程。

　　mv run.log run.2020-11-02.log

　　touch run.log

　　测试一下

　　文件滚动，会生成新的文件，那tail命令还能跟踪到么?

　　我们来测试一下。

　　第一步，创建要监控的文件

　　touch /tmp/tail0

　　第二步，启动我们的Java代码

　　第三步，生成一个不间断的流

　　watch -n 1 'echo `date` >> /tmp/tail0 '

　　上面的命令每隔1秒钟，往我们的文件中打印一下当前的日期，可以看到Java端已经收到了这些数据。

　　tail命令的妙用！tail命令的妙用！

　　第四步，模拟文件滚动

　　mv /tmp/tail0 /tmp/tail.bak

　　touch /tmp/tail0

　　此时，我们可以看到，Java端此时已经接受不到数据了。

　　Why?

　　为了看到这是为什么，我们使用两个命令来看一下进程的一些状态。

　　首先，使用ps命令，查看当前的tail进程。

　　ps -ef|grep tail

　　 501 21374 21373   0 1:51PM ??         0:00.01 tail -f /tmp/tail0

　　这正是我们的命令。

　　我们使用lsof命令去查看这个进程所关联的文件。

　　lsof -p 21374 | awk '{print $4 "\t" $9}'

　　FD NAME

　　cwd /tmp/

　　txt /usr/bin/tail

　　txt /usr/lib/dyld

　　3r /private/tmp/tail.bak

　　我们看到tail进程所监控的文件，其实是tail.bak文件，已经和tail命令没什么关系了。

　　我们尝试像tail.bak输入一点内容。

　　echo "haha: xjjdog, i am from tail.bak" >> /tmp/tail.bak

　　此时如我们所愿，Java进程有反应了，正常输出了这句话。

　　怎么办?

　　就如同我们问题中问的一样，把tail -f换成tail -F就可以了。

　　tail -f的意思是，根据文件描述符进行追踪。

　　tail -F的意思是，根据文件名进行追踪，它会有重试的动作。

　　所以，我们的日志收集程序，毫无疑问是根据日志名称追踪的，应该把f改成F。

　　End

　　既然知道了这些小区别，我们就对日常工作中遇到的一些灵异问题有了解释。

　　大家都知道rm命令，能够删除一个文件。如果有这个文件，正在被其他进程所使用，那这些文件你看起来像是删掉了，但它的内容却不释放。

　　lsof | grep deleted

　　上面这个命令，能够看到这些失控的文件。一般你kill掉相应的进程，这些句柄也就释放了。但你删除这些文件的本意，就是为了避免重启应用，这可真让人纠结。

　　cat /dev/null > logpath

　　所以我们在删除文件的时候，一般不会使用rm，而应该使用重定向符号。将万物皆空的/dev/null，发向它们。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!