当前位置：首页 > article >正文

我试了试用 SQL查 Linux日志，好用到飞起

article 2026/3/23 20:42:59

最近发现点好玩的工具迫不及待的想跟大家分享一下。大家平时都怎么查Linux日志呢像我平时会用tail、head、cat、sed、more、less这些经典系统命令或者awk这类三方数据过滤工具配合起来查询效率很高。但在使用过程中有一点让我比较头疼那就是命令参数规则太多了记的人脑壳疼。那查日志有没有一种通用的方式比如用SQL查询毕竟这是程序员都比较熟悉的表达式。今天分享的工具q就实现了以写SQL的方式来查询、统计文本内容一起看看这货到底有什么神奇之处。搭个环境q是一个命令行工具允许我们在任意文件或者查询结果比如可以在ps -ef查询进程命令的结果集上直接执行SQL语句查询。宗旨就是文本即数据库表额当然这句话是我自己理解的哈哈哈它将普通文件或者结果集当作数据库表几乎支持所有的SQL结构如WHERE、GROUP BY、JOINS等支持自动列名和列类型检测支持跨文件连接查询这两个后边详细介绍支持多种编码。安装比较简单在Linux CentOS环境只要如下三步搞定Windows环境更是只需安装个exe就可以用了。wget https://github.com/harelba/q/releases/download/1.7.1/q-text-as-data-1.7.1-1.noarch.rpm #下载版本 sudo rpm -ivh q-text-as-data-1.7.1-1.noarch.rpm # 安装 q --version #查看安装版本“官方文档https://harelba.github.io/q语法q支持所有SQLiteSQL语法标准命令行格式q 参数命令 SQLq 命令 SQL我要查询myfile.log文件的内容直接q SELECT * FROM myfile.log。q SELECT * FROM myfile.logq不附加参数使用是完全没有问题的但利用参数会让显示结果更加美观所以这里简单了解一下它的参数分为 2种。input输入命令指的是对要查询的文件或结果集进行操作比如-H命令表示输入的数据包含标题行。q -H SELECT * FROM myfile.log在这种情况下将自动检测列名并可在查询语句中使用。如果未提供此选项则列将自动命名为cX以c1起始以此类推。q select c1c2 from ...output输出命令作用在查询输出的结果集比如-O让查询出来的结果显示列名。[rootiZ2zebfzaequ90bdlz820sZ software]# ps -ef | q -H select count(UID) from - where UIDroot 104 [rootiZ2zebfzaequ90bdlz820sZ software]# ps -ef | q -H -O select count(UID) from - where UIDroot count(UID) 104还有很多参数就不一一列举了感兴趣的同学在官网上看下接下来我们重点演示一下使用SQL如何应对各种查询日志的场景。玩法贼多下边咱们一起看几个查询日志的经常场景中这个SQL该如何写。1、关键字查询关键字检索应该是日常开发使用最频繁的操作不过我个人认为这一点q并没有什么优势因为它查询时必须指定某一列。[rootiZ2zebfzaequ90bdlz820sZ software]# q select * from douyin.log where c9 like %待解析% 2021-06-11 14:46:49.323 INFO 22790 --- [nio-8888-exec-2] c.x.douyin.controller.ParserController : 待解析URL :urlhttps%3A%2F%2Fv.douyin.com%2Fe9g9uJ6%2F 2021-06-11 14:57:31.938 INFO 22790 --- [nio-8888-exec-5] c.x.douyin.controller.ParserController : 待解析URL :urlhttps%3A%2F%2Fv.douyin.com%2Fe9pdhGP%2F 2021-06-11 15:23:48.004 INFO 22790 --- [nio-8888-exec-2] c.x.douyin.controller.ParserController : 待解析URL :urlhttps%3A%2F%2Fv.douyin.com%2Fe9pQjBR%2F 2021-06-11 2而用grep命令则是全文检索。[rootiZ2zebfzaequ90bdlz820sZ software]# cat douyin.log | grep 待解析URL 2021-06-11 14:46:49.323 INFO 22790 --- [nio-8888-exec-2] c.x.douyin.controller.ParserController : 待解析URL :urlhttps%3A%2F%2Fv.douyin.com%2Fe9g9uJ6%2F 2021-06-11 14:57:31.938 INFO 22790 --- [nio-8888-exec-5] c.x.douyin.controller.ParserController : 待解析URL :urlhttps%3A%2F%2Fv.douyin.com%2Fe9pdhGP%2F2、模糊查询like模糊搜索如果文本内容列有名字直接用列名检索没有则直接根据列号c1、c2、cN。[rootiZ2zebfzaequ90bdlz820sZ software]# cat test.log abc 2 3 4 5 23 24 25 [rootiZ2zebfzaequ90bdlz820sZ software]# q -H -t select * from test.log where abc like %2% Warning: column count is one - did you provide the correct delimiter? 2 23 24 253、交集并集支持UNION和UNION ALL操作符对多个文件取交集或者并集。如下建了test.log和test1.log两个文件里边的内容有重叠用union进行去重。q -H -t select * from test.log union select * from test1.log [rootiZ2zebfzaequ90bdlz820sZ software]# cat test.log abc 2 3 4 5 [rootiZ2zebfzaequ90bdlz820sZ software]# cat test1.log abc 3 4 5 6 [rootiZ2zebfzaequ90bdlz820sZ software]# q -H -t select * from test.log union select * from test1.log Warning: column count is one - did you provide the correct delimiter? Warning: column count is one - did you provide the correct delimiter? 2 3 4 5 64、内容去重比如统计某个路径下的./clicks.csv文件中uuid字段去重后出现的总个数。q -H -t SELECT COUNT(DISTINCT(uuid)) FROM ./clicks.csv5、列类型自动检测注意q会理解每列是数字还是字符串判断是根据实数值比较还是字符串比较进行过滤这里会用到-t命令。q -H -t SELECT request_id,score FROM ./clicks.csv WHERE score 0.7 ORDER BY score DESC LIMIT 56、字段运算读取系统命令查询结果计算/tmp目录中每个用户和组的总值。可以对字段进行运算处理。sudo find /tmp -ls | q SELECT c5,c6,sum(c7)/1024.0/1024 AS total FROM - GROUP BY c5,c6 ORDER BY total desc [rootiZ2zebfzaequ90bdlz820sZ software]# sudo find /tmp -ls | q SELECT c5,c6,sum(c7)/1024.0/1024 AS total FROM - GROUP BY c5,c6 ORDER BY total desc www www 8.86311340332 root root 0.207922935486 mysql mysql 4.76837158203e-067、数据统计统计系统拥有最多进程数的前 3个用户ID按降序排序这就需要和系统命令配合使用了先查询所有进程再利用SQL筛选这里的q命令就相当grep命令。ps -ef | q -H SELECT UID,COUNT(*) cnt FROM - GROUP BY UID ORDER BY cnt DESC LIMIT 3 [rootiZ2zebfzaequ90bdlz820sZ software]# ps -ef | q -H SELECT UID,COUNT(*) cnt FROM - GROUP BY UID ORDER BY cnt DESC LIMIT 3 root 104 www 16 rabbitmq 4 [rootiZ2zebfzaequ90bdlz820sZ software]# ps -ef | q -H -O SELECT UID,COUNT(*) cnt FROM - GROUP BY UID ORDER BY cnt DESC LIMIT 3 UID cnt root 110 www 16 rabbitmq 4我们看到加与不加-O命令的区别就是否显示查询结果的标题。8连文件查一般情况下我们的日志文件会按天分割成很多个固定容量的子文件在没有统一的日志收集服务器的情况下如果不给个报错时间区间去查一个关键词那么无异于大海捞针。如果可以将所有文件内容合并后在查就会省事很多q支持将文件像数据库表那样联合查询。q -H select * from douyin.log a join douyin-2021-06-18.0.log b on (a.c2b.c3) where b.c1root总结看完可能会有人抬杠q写这么多代码直接用awk不香吗额介绍这个工具的初衷并不是说要替换现有哪种工具而是多提供一种更为便捷的查日志方法。我也有在用awk确实很强大没得说但这里边涉及到一个学习成本的问题琳琅满目的命令、匹配规则想玩转还是要下点功夫的。而对于新手程序员稍微有点数据库经验写SQL问题都不大上手q则会容易的多。

我试了试用 SQL查 Linux日志，好用到飞起

相关文章：

我试了试用 SQL查 Linux日志，好用到飞起

别再纠结React拖拽库了！2025年实战对比：dnd-kit vs react-dnd vs antd Table

别再为STM32F407+LAN8720以太网通信发愁了，这份CubeMX+FreeRTOS+LWIP的避坑配置指南请收好

OpenClaw学习总结_II_频道系统_1：WhatsApp集成详解

Java笔记2（修改）

失信被执行人查询小工具 | 在线快速查询入口

【VLM】HopChain视觉语言推理多跳数据合成框架

Vibe Coding实战：如何用AI生成你的第一个React天气应用（附完整Prompt模板）

【前端知识】React生态你了解多少？

CSS3文字闪烁效果实战：3种方法让你的网页标题更吸睛（附完整代码）

避坑指南：Windows搭建Turn服务器常见问题及解决方案

vxe-table列头合并避坑指南：从基础配置到高级动态调整

避坑指南：从EXT151安装包解压到QRC成功集成Cadence的全流程复盘

AtCoder Beginner Contest 450 复盘

egoShieldTimeLapse：基于STM32的延时摄影运动控制库

威联通NAS iSCSI实战：如何将NAS硬盘变成电脑的‘第二块硬盘’（附速度测试对比）

YOLO26-Pose端到端部署：告别NMS！人体与工业部件关键点检测实战

Gazebo仿真环境下的SLAM建图实战：从模型导入到地图保存全流程

拉普拉斯反变换避坑指南：当ROC区域遇到部分分式展开时的5个易错点

Qwen3-4B-Thinking模型软件测试应用：自动化测试用例与缺陷报告生成

Git误删急救指南：30秒挽救代码

【路径规划】在二维和三维空间中实现RRT_算法，根据障碍物位置和尺寸实现的避障功能附matlab代码

MATLAB/Simulink 两相交错并联Buck电路仿真：电压闭环控制之旅

在Java中如何理解方法访问修饰符的作用

3.22 OJ

无人船、AUV与无人车编队路径跟踪的奇妙探索

三菱PLC恒定张力收卷机控制程序解析

用PHP搞定TikTok搜索数据抓取：手把手教你绕过x-bogus签名验证（附完整Node.js联动代码）

从‘玩具‘到‘武器库‘：如何将本地Pikachu靶场升级为团队共享的实战训练平台？

基于Matlab的单侧电源三段式距离保护控制系统