In produktiven Linux-Systemen werden Logs oft komprimiert. Das spart Speicherplatz und erleichtert die Logrotation. Doch diese Struktur macht die Auswertung zu einem Zwischenschritt: Die Dateien müssen kopiert und entpackt werden, bevor Sie sie mit klassischen Werkzeugen auswerten können.
Es gibt eine einfache Alternative: Lesen Sie komprimierte Logdateien direkt aus. Auf diese Weise bleiben Sie im Flow und sparen Zeit. Die meisten Komprimierungsformate arbeiten mit einer Piping-Schnittstelle, die Inhalte auf stdout ausgibt. Sie können diese Ausgabe direkt mit üblichen Tools filtern, durchsuchen und visualisieren.
Geben Sie gzip-Dateien aus der Nacht mit zcat aus. Beispiele:
- Gzip-Dateien: zcat /var/log/syslog.1.gz | head -n 100
- Suche: zgrep -i "error" /var/log/app.log.gz
- Ansicht: zless /var/log/syslog.gz
- Bzip2-Dateien: bzcat /var/log/auth.log.bz2 | tail -n 50
- XZ-Dateien: xzcat /var/log/openssl.log.xz | grep -i "failed"
Performance-Tipp: Wenn Sie viele große Archive durchsuchen, verwenden Sie pigz statt gzip. Pigz nutzt mehrere Kerne und reduziert die Entpackzeit spürbar.
Weitere praktische Hinweise erleichtern die tägliche Arbeit. Verwenden Sie zless oder bzless für die interaktive Durchsicht oder leiten Sie die Ausgabe an weniger weiter, um seitenweise zu scrollen. Mit zgrep in Verbindung mit Musterfiltern finden Sie gezielt Fehlermeldungen und Warnungen.
Der Trick funktioniert unabhängig vom Format. Durch das direkte Auslesen bleiben Ihre Workflows schlank, und Analystinnen und Analysten erhalten rasche Einblicke in das Verhalten Ihrer Systeme.
Assistente IA WGS