awk 的进阶使用案例
前言
awk是什么?awk是一个报表生成器,拥有强大的文本格式化的能力。我们可以利用awk来处理文本,整理成各种“表”的样子。
awk 是由 Alfred Aho 、Peter Weinberger 和 Brian Kernighan 三个创造者的姓氏的首个字母组成,早期应用于Unix上,所以我们现在使用的Linux版的awk其实是gawk,也就是GNU awk。
- awk其实是一门脚本语言,它支持条件判断、数组、循环等功能
事实上,grep 、sed、awk 被称为 linux 中的 "三剑客"。
- grep 适合单纯的查找或匹配文本
- sed 适合编辑匹配到的文本
- awk 适合格式化文本,对文本进行较复杂格式处理
- 语法:
awk [options] 'program' file1,file2
awk [options] 'Pattern{Action}' file1,file2- 常用参数:
-F'fs' : 指定输入文件折分隔符,默认已空格(多个空格)分隔.fs是一个字符串或者是一个正则表达式
-v var=value : 外键变量定义,例如awk -v var1='v1'- 模式和操作:
- awk脚本是由模式和操作组成的:
awk [options] 'BEGIN{} Pattern{Action} END{}' file1,file2
awk [optioms] 'BEGIN{}' file1,file2
awk [options] 'Pattern{Action}' file1,file2
awk [options] 'Pattern{Action} END{}' file1,file2上述是可选的,如果没有模式,则action应用到全部记录,如果没有action,则输出匹配全部记录。默认情况下,每一个输入行都是一条记录,但用户可通过RS变量指定不同的分隔符进行分隔。
模式:
模式可以是以下任意一个:
- /正则表达式/:使用通配符的扩展集。
- 关系表达式:可以用下面运算符表中的关系运算符进行操作,可以是字符串或数字的比较,如$2>%1选择第二个字段比第一个字段长的行。
- 模式匹配表达式:用运算符~(匹配)和~!(不匹配)。
- 模式,模式:指定一个行的范围。该语法不能包括BEGIN和END模式。
- BEGIN:让用户指定在第一条输入记录被处理之前所发生的动作,通常可在这里设置全局变量。
- END:让用户在最后一条输入记录被读取之后发生的动作。
操作:
操作由一人或多个命令、函数、表达式组成,之间由换行符或分号隔开,并位于大括号内。主要有四部份:
- 变量或数组赋值
- 输出命令
- 内置函数
- 控制流命令
- awk的环境变量(内置变量)
变量 | 描述 |
|---|---|
$n | 当前记录的第n个字段,字段间由FS分隔。 |
$0 | 完整的输入记录。 |
ARGC | 命令行参数的数目。 |
ARGIND | 命令行中当前文件的位置(从0开始算)。 |
ARGV | 包含命令行参数的数组。 |
CONVFMT | 数字转换格式(默认值为%.6g) |
ENVIRON | 环境变量关联数组。 |
ERRNO | 最后一个系统错误的描述。 |
FIELDWIDTHS | 字段宽度列表(用空格键分隔)。 |
FILENAME | 当前文件名。 |
FNR | 同NR,但相对于当前文件。 |
FS | 字段分隔符(默认是任何空格)。 |
IGNORECASE | 如果为真,则进行忽略大小写的匹配。 |
NF | 当前记录中的字段数。 |
NR | 当前记录数。 |
OFMT | 数字的输出格式(默认值是%.6g)。 |
OFS | 输出字段分隔符(默认值是一个空格)。 |
ORS | 输出记录分隔符(默认值是一个换行符)。 |
RLENGTH | 由match函数所匹配的字符串的长度。 |
RS | 记录分隔符(默认是一个换行符)。 |
RSTART | 由match函数所匹配的字符串的第一个位置。 |
SUBSEP | 数组下标分隔符(默认值是034)。 |
- awk运算符
运算符 | 描述 | ||
|---|---|---|---|
= += -= = /= %= ^= *= | 赋值 | ||
?: | C条件表达式 | ||
\ | \ | 逻辑或 | |
&& | 逻辑与 | ||
~ ~! | 匹配正则表达式和不匹配正则表达式 | ||
< <= > >= != == | 关系运算符 | ||
空格 | 连接 | ||
+ - | 加,减 | ||
* / & | 乘,除与求余 | ||
+ - ! | 一元加,减和逻辑非 | ||
^ * | 求幂 | ||
++ -- | 增加或减少,作为前缀或后缀 | ||
$ | 字段引用 | ||
in | 数组成员 |
- 记录和域
- 记录
awk把每一个以换行符结束的行称为一个记录。
记录分隔符:默认的输入和输出的分隔符都是回车,保存在内建变量ORS和RS中。
$0变量:它指的是整条记录。如awk '{print $0}' test将输出test文件中的所有记录。
变量NR:一个计数器,每处理完一条记录,NR的值就增加1。如 awk '{print NR,$0}' test将输出test文件中所有记录,并在记录前显示记录号。
- 域
记录中每个单词称做“域”,默认情况下以空格或tab分隔。awk可跟踪域的个数,并在内建变量NF中保存该值。如 awk '{print $1,$3}' test将打印test文件中第一和第三个以空格分开的列(域)。
- 域分隔符
内建变量FS保存输入域分隔符的值,默认是空格或tab。我们可以通过-F命令行选项修改FS的值。如awk -F: '{print $1,$5}' test将打印以冒号为分隔符的第一,第五列的内容。
可以同时使用多个域分隔符,这时应该把分隔符写成放到方括号中,如awk -F'[:\t]' '{print $1,$3}' test,表示以空格、冒号和tab作为分隔符。
输出域的分隔符默认是一个空格,保存在OFS中。如awk -F: '{print $1,$5}' test,$1和$5间的逗号就是OFS的值。
gawk专用正则表达式元字符
一般通用的元字符集就不讲了,可参考我的Sed和Grep学习笔记。以下几个是gawk专用的,不适合unix版本的awk。
Y | 匹配一个单词开头或者末尾的空字符串。 |
B | 匹配单词内的空字符串。 |
< | 匹配一个单词的开头的空字符串,锚定开始。 |
> | 匹配一个单词的末尾的空字符串,锚定末尾。 |
w | 匹配一个字母数字组成的单词。 |
W | 匹配一个非字母数字组成的单词。 |
‘ | 匹配字符串开头的一个空字符串。 |
' | 匹配字符串末尾的一个空字符串。 |
匹配操作符(~)
用来在记录或者域内匹配正则表达式。如awk '$1 ~/^root/' test将显示test文件第一列中以root开头的行。
比较表达式(三元运算符)
conditional expression1 ? expression2: expression3,例如:awk '{max = {$1 > $3} ? $1: $3: print max}' test。如果第一个域大于第三个域,$1就赋值给max,否则$3就赋值给max。
awk '$1 + $2 < 100' test:如果第一和第二个域相加大于100,则打印这些行。
awk '$1 > 5 && $2 < 10' test:如果第一个域大于5,并且第二个域小于10,则打印这些行。
BEGIN模块
BEGIN模块后紧跟着动作块,这个动作块在awk处理任何输入文件之前执行。
所以它可以在没有任何输入的情况下进行测试。
它通常用来改变内建变量的值,如OFS,RS和FS等,以及打印标题。如:awk 'BEGIN{FS=":"; OFS="\t"; ORS="\n\n"}{print $1,$2,$3} test。
上式表示,在处理输入文件以前,域分隔符(FS)被设为冒号,输出文件分隔符(OFS)被设置为制表符,输出记录分隔符(ORS)被设置为两个换行符。awk 'BEGIN{print "TITLE TEST"}只打印标题。
流程控制
if语句
- 语法:
{
if(expression){
statement; statement; ...
}
}- 示例:
#如果第一个域小于第二个域则打印。
awk '{if($1 > $2)print $1}' test
#如果第一个域小于第二个域,则count加一,并打印ok。
awk '{if($1 < $2){count++;print count}}' if/else语句
- 语法:
{
if(expression){
statement; statement; ...
}else{
statement; statement; ...
}
}- 示例:
#如果$1大于100则打印$1 bad,否则打印ok。
awk '{if ($1 > 100) print $1 "bad" ; else print "ok"}' test
#如果$1大于100,则count加一,并打印$1,否则count减一,并打印$1。
awk '{if ($1 > 100){ count++; print $1} else {count--; print $2}' testif/else else if语句
{
if(expression){
statement; statement; ...
}else if(expression){
statement; statement; ...
}else{
statement; statement; ...
}
}循环
- awk有三种循环:while循环;for循环;special for循环。
awk '{ i = 1; while ( i <= NF ) { print NF,$i; i++}}' test。变量的初始值为1,若i小于可等于NF(记录中域的个数),则执行打印语句,且i增加1。直到i的值大于NF.
awk '{for (i = 1; i<NF; i++) print NF,$i}' test。作用同上。
- breadkcontinue语句。break用于在满足条件的情况下跳出循环;
- continue用于在满足条件的情况下忽略后面的语句,直接返回循环的顶端。如:
{for ( x=3; x<=NF; x++)
if ($x<0){print "Bottomed out!"; break}}
{for ( x=3; x<=NF; x++)
if ($x==0){print "Get next item"; continue}}- next语句从输入文件中读取一行,然后从头开始执行awk脚本。如:
{if ($1 ~/test/){next}
else {print}
}- exit语句用于结束awk程序,但不会略过END块。退出状态为0代表成功,非零值表示出错。
数组
下标与关联数组
- 用变量作为数组下标。如:
awk {name[x++]=$2};END{for(i=0;i<NR;i++) print i,name[i]}' test。数组name中的下标是一个自定义变量x,awk初始化x的值为0,在每次使用后增加1。第二个域的值被赋给name数组的各个元素。在END模块中,for循环被用于循环整个数组,从下标为0的元素开始,打印那些存储在数组中的值。因为下标是关健字,所以它不一定从0开始,可以从任何值开始。 - special for循环(ForEach)用于读取关联数组中的元素。格式如下:
{
for (item in arrayname){
print arrayname[item]
}
}awk '/^tom/{name[NR]=$1}; END{for(i in name){print name[i]}}' test。打印有值的数组元素。打印的顺序是随机的。- 用域值作为数组的下标。一种新的for循环方式,
for (index_value in array) statement。如:awk '{count[$1]++} END{for(name in count) print name,count[name]}' test。该语句将打印$1中字符串出现的次数。它首先以第一个域作数组count的下标,第一个域变化,索引就变化。 - delete函数用于删除数组元素。如:
awk '{line[x++]=$1} END{for(x in line) delete(line[x])}' test。分配给数组line的是第一个域的值,所有记录处理完成后,special for循环将删除每一个元素。
内建函数
字符串替换函数
sub函数匹配记录中最大、最靠左边的子字符串的正则表达式,并用替换字符串替换这些字符串。如果没有指定目标字符串就默认使用整个记录。替换只发生在第一次匹配的时候。格式如下:
sub (regular expression, substitution string):
sub (regular expression, substitution string, target string)- 示例:
#在整个记录中匹配,替换只发生在第一次匹配发生的时候。
cat /etc/shadow | awk '{sub(/9{5}/,"0");print}'
#在整个记录的第一个域中进行匹配,替换只发生在第一次匹配发生的时候。
cat /etc/shadow | awk '{sub(/^x/,"***",$1);print}'字符串出现位置
index函数返回子字符串第一次被匹配的位置,偏移量从位置1开始。格式如下:
index(string, substring)- 示例
#返回整行中的9999出现位置,如果未出现则返回0
cat /etc/shadow | awk -F: '{print index($0,"9999")}'字符串统计
length函数返回记录的字符数。格式如下:
length( string )
length- 示例:
#统计一个域中的数量
cat /etc/shadow | awk -F: '{print length($1)}'
#统计整行的字符数量
cat /etc/shadow | awk -F: '{print length}'字符串截取
substr函数返回从位置1开始的子字符串,如果指定长度超过实际长度,就返回整个字符串。格式如下:
substr( string, starting position )
substr( string, starting position, length of string )- 示例:
awk 'BEGIN{print substr("isawk",1,2)}'正则匹配
match函数返回在字符串中正则表达式位置的索引,如果找不到指定的正则表达式则返回0。match函数会设置内建变量RSTART为字符串中子字符串的开始位置,RLENGTH为到子字符串末尾的字符个数。substr可利于这些变量来截取字符串。函数格式如下:
match( string, regular expression )- 示例:
awk 'BEGIN{ret=match("is awk",/[a-z]+$/);print ret}'大小写转换
toupper和tolower函数可用于字符串大小间的转换。格式如下:
toupper( string )
tolower( string )- 示例:
awk 'BEGIN{print toupper("awk");print tolower("AWK")}'字符分割
split函数可按给定的分隔符把字符串分割为一个数组。如果分隔符没提供,则按当前FS值进行分割。格式如下:
split( string, array, field separator )
split( string, array )- 示例:
awk 'BEGIN{split("2020-06-06",arr,"-");for(a in arr){print arr[a]}}'函数
自定义函数
- 格式:
function func_name(parameter, parameter, parameter, ... ){
statements
return expression
}简单的使用案例
- 取出
/etc/passwd的用户和所属群组及使用的shell
awk -F':' -v OFS='-' '{print $1,$3,$NF}' /etc/passwd
#结果:
root-0-/bin/bash
bin-1-/sbin/nologin
daemon-2-/sbin/nologin
adm-3-/sbin/nologin
lp-4-/sbin/nologin
sync-5-/bin/sync
shutdown-6-/sbin/shutdown
halt-7-/sbin/halt
mail-8-/sbin/nologin
operator-11-/sbin/nologin
games-12-/sbin/nologin
ftp-14-/sbin/nologin
nobody-99-/sbin/nologin
systemd-network-192-/sbin/nologin
dbus-81-/sbin/nologin
polkitd-999-/sbin/nologin
sshd-74-/sbin/nologin
postfix-89-/sbin/nologin
chrony-998-/sbin/nologin
xiaoqi-1000-/bin/bash- 取出
/etc/passwd的用户ID小于20和所属群及使用的shell
awk -F':' -v OFS='-' '{if($3<=20){print $1,$3,$NF}}' /etc/passwd
#结果:
root-0-/bin/bash
bin-1-/sbin/nologin
daemon-2-/sbin/nologin
adm-3-/sbin/nologin
lp-4-/sbin/nologin
sync-5-/bin/sync
shutdown-6-/sbin/shutdown
halt-7-/sbin/halt
mail-8-/sbin/nologin
operator-11-/sbin/nologin
games-12-/sbin/nologin
ftp-14-/sbin/nologin- 取出
/etc/passwd的用户已'r'开头的用户
awk '/^r/{print $0}' /etc/passwd
#结果:
root:x:0:0:root:/root:/bin/bash- 取出
netstat的简略信息已报表方式显示
netstat -luntp | grep -E '^tcp' | awk 'BEGIN{printf "%-10s\t%-10s\n","PID/Program name","Proto"}{printf "%-10s\t\t%-10s\n",$NF,$1}'
#结果
PID/Program name Proto
1168/master tcp
1067/sshd tcp
1168/master tcp6
1067/sshd tcp6 - 统计
nginx日志中出现的ip次数,取前10个ip
awk '/^[0-9]/{ip[$1]++}END{for(i in ip){print i,ip[i]}}' www.i7dom.cn.log |sort -k2 -nr | head -n 10
#结果
58.216.101.49 36277
119.188.116.17 31060
150.138.216.79 25922
150.138.216.78 25581
58.216.101.46 24769
58.216.101.47 21480
119.188.116.16 21376
218.98.26.146 20334
218.98.26.149 13674
112.82.242.111 11079- 取进程运行时间+进程程序取前五
ps axu | awk -v OFS=" " '{print $10,$11}' | sort -k1 -nr | head -n 10
#结果:
1718:59 ./sergate
1177:47 barad_agent
935:12 python
890:32 /bin/python
706:09 [rcu_sched]
514:05 /usr/bin/mongod
262:48 /usr/local/qcloud/YunJing/YDEyes/YDService
208:15 /usr/bin/python
199:58 barad_agent
99:04 /usr/lib/systemd/systemd-journald腾讯云开发者
