Luego de los dos posts anteriores sobre el tema, en esta ocasión vamos a examinar logs con lnav en detalle utilizando SQL y el parser incorporado. De esta manera nos será más simple visualizar o encontrar la información que estemos buscando.
Examinar logs con lnav
Para empezar, iniciemos la herramienta y elijamos la línea sobre la que deseemos ver la información en detalle. Para esto utilizaremos las flechas del teclado o los atajos que compartimos en el post anterior.
Uso del parser
El registro actual es siempre el que aparece en la primera línea de la ventana. A continuación, luego de presionar la tecla p deberíamos ver lo que observamos en la Fig. 1. La línea seleccionada aparece encuadrada en rojo:
De esta manera es más fácil identificar datos tales como la dirección IP desde la que originó la solicitud HTTP (c_ip), el resultado de la misma (sc_status), y los parámetros que se utilizaron en la misma (cs_uri_query), entre otros.
Para regresar a la vista normal deberemos presionar p nuevamente.
Uso de SQL
Desde la vista normal podemos realizar una análisis de los logs mediante un histograma presionando la letra i. Esto nos mostrará un resumen de los logs por fecha y hora. Por ejemplo, al recorrer el histograma encontramos que el primer día de Febrero entre las 16 y las 17 hs se observan dos accesos en total, incluyendo un error.
Para ver más detalles podemos cerrar el histograma con la letra i y presionar la tecla ; para acceder al prompt de SQL. La siguiente consulta nos mostrará los registros correspondientes en formato de tabla, tal como observamos en la Fig. 2:
Para ver las tablas y los campos que están disponibles para realizar consultas SQL podemos utilizar el siguiente comando desde la vista principal de lnav y presionar Enter:
;.schema
Tanto en este caso como en el anterior (que mostramos en la Fig. 2), para volver a la pantalla principal de lnav deberemos presionar la tecla q.
Espero que esta serie de artículos sobre lnav les haya resultado útil. ¡Nos encontramos en el próximo post!