AWK：比较 apache 日期而不使用正则表达式

Question

我正在编写一个日志分析应用程序，并希望在两个特定日期之间获取 apache 日志记录。假设日期格式如下：22/Dec/2009:00:19 (day/month/year:hour:minute)

目前，我正在使用正则表达式将月份名称替换为其数值，删除分隔符，因此上述日期转换为：221220090019 使日期比较变得微不足道.. 但是..

对大文件的每条记录运行正则表达式，比如包含 25 万条记录的记录，成本非常高。还有其他不涉及正则表达式替换的方法吗？

提前致谢

编辑：这是进行转换/比较的函数

function dateInRange(t, from, to) {
    sub(/[[]/, "", t);
    split(t, a, "[/:]");
    match("JanFebMarAprMayJunJulAugSepOctNovDec", a[2]);
    a[2] = sprintf("%02d", (RSTART + 2) / 3);
    s = a[3] a[2] a[1] a[4] a[5];

    return s >= from && s <= to;
}

“from”和“to”是上述格式的间隔，“t”是原始 apache 日志日期/时间字段（例如 [22/Dec/2009:00:19:36）

Answer 1

我曾经遇到过一个涉及正则表达式的非常慢的 AWK 程序的问题。当我将整个程序翻译成 Perl 时，它的运行速度要快得多。我猜这是因为 GNU AWK 每次解释表达式时都会编译一个正则表达式，而 perl 只编译一次表达式。

Answer 2

好吧，这是一个想法，假设日志中的记录是按日期排序的。

不要在文件的每一行上运行正则表达式并检查该记录是否在要求的范围内，而是执行binary search。

获取文件中的总行数。从中间读取一行并检查其日期。如果它早于您的范围 - 那么该行之前的任何内容都可以忽略。把剩下的分成两半，然后再从中间检查一条线。依此类推，直到找到范围边界。

Answer 3

Here is a Python program I wrote 根据日期对日志文件进行二进制搜索。它可以适应您的使用。

它寻找文件的中间，然后同步到换行符，读取并比较日期，重复将前一半分成两半的过程，这样做直到日期匹配（大于或等于），倒回以确保之前没有相同日期的，然后读取并输出行，直到所需范围的末尾。速度非常快。

我正在开发一个更高级的版本。最终我会完成它并发布更新版本。

Answer 4

仅仅为了识别一个范围而截取文件对于这样一个简单的任务来说听起来有点笨拙（不过，二进制搜索值得考虑）

这是我修改后的函数，由于消除了正则表达式

，这显然要快得多

BEGIN {
    months["Jan"] = 1
    months["Feb"] = 2
    ....
    months["Dec"] = 12
}
function dateInRange(t, from, to) {
    split(t, a, "[/:]");
    m = sprintf("%02d", months[a[2]]);
    s = a[3] m a[1] a[4] a[5];
    ok = s >= from && s <= to;
    if(!ok && seen == 1){exit;}
    return ok;
}

定义了一个数组，随后用于索引月份。 确保一旦日期超出范围，程序不会继续检查记录（变量 seen 在第一次匹配时设置）

感谢大家的投入。