<p><meta/>{“status”: “production-ready”, “engine”: “gemini-1.5-pro”, “focus”: “SRE/Log-Analysis”, “technique”: [“awk-RS”, “awk-getline”, “structured-logging”]}</p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">分散システムのトラブルシューティングを加速する：awkによる複数行ログの自動抽出と構造化</h1> <p>【導入と前提】 JavaスタックトレースやSQLスロークエリ等、複数行にわたる非構造化ログを特定のパターンで抽出し、JSON形式へ整形して監視基盤へ転送する処理を自動化します。</p> <ul class="wp-block-list"> <li><strong>前提環境</strong>: GNU/Linux (Ubuntu/RHEL), gawk (GNU awk) 4.0+, jq, systemd</li> </ul> <p>【処理フローと設計】</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["ログファイル監視"] --> B{"awkによるレコード分離"} B -->|RS: レコード区切り| C["複数行パターンの抽出"] C -->|getline: 次行結合| D["一時オブジェクト生成"] D -->|jq| E["構造化JSON出力"] E --> F["監視基盤/外部通知"] </pre></div> <p>この設計では、<code>RS</code> (Record Separator) を正規表現で定義することで、1つのログエントリ（タイムスタンプから次のタイムスタンプまで）を単一の「レコード」として扱います。</p> <p>【実装：堅牢な自動化スクリプト】 以下のスクリプトは、アプリケーションログからエラー発生時のスタックトレースを含むコンテキストを抽出し、構造化します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash # log_processor.sh - 複数行ログの抽出とJSON化 set -euo pipefail # エラー発生時に停止、未定義変数参照禁止、パイプエラーの伝播 IFS=$'\n\t' # 設定 LOG_FILE="/var/log/app/production.log" OUTPUT_JSON="/var/log/app/error_report.json" TMP_FILE=$(mktemp) # クリーンアップ処理 trap 'rm -f "$TMP_FILE"' EXIT echo "Starting log extraction at $(date)" # gawkによる複数行抽出処理 # RS (Record Separator) にタイムスタンプのパターンを指定し、1エントリを1レコードとして処理 gawk ' BEGIN { # 2024-05-20 10:00:00 のような形式の行頭を区切り文字に設定 (gawk拡張) RS = "\n[0-9]{4}-[0-9]{2}-[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}" } /ERROR|CRITICAL/ { # RT (Record Terminator) は一致した区切り文字を保持している timestamp = gensub(/^\n/, "", "g", RT) content = $0 # 特殊なパターンがあった場合、getlineでさらに後続を読み込む例 if (content ~ /SpecificException/) { # 必要に応じて追加行を取得可能 # getline extra_line # content = content "\n" extra_line } # JSONの中間形式として整形出力 printf "%s\t%s\n", (timestamp == "" ? "INIT_START" : timestamp), content }' "$LOG_FILE" > "$TMP_FILE" # jqによるJSON構造化とファイル出力 cat "$TMP_FILE" | jq -R -s ' split("\n") | map(select(length > 0)) | map( split("\t") as $parts | { timestamp: $parts[0], level: (if $parts[1] | contains("CRITICAL") then "CRITICAL" else "ERROR" end), message: $parts[1] | ltrimstr(" ") } ) ' > "$OUTPUT_JSON" # curlで外部APIへ通知する例 (コメントアウト) # curl -X POST -H "Content-Type: application/json" -d @"$OUTPUT_JSON" -L -s https://api.monitoring.example.com/ingest </pre> </div> <p><strong>定期実行のためのsystemd設定例:</strong> <code>/etc/systemd/system/log-parser.timer</code></p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Run log processor every 5 minutes [Timer] OnCalendar=*:0/5 Persistent=true [Install] WantedBy=timers.target </pre> </div> <p>【検証と運用】</p> <ol class="wp-block-list"> <li><p><strong>正常系確認</strong>: <code>tail -f /var/log/app/error_report.json | jq .</code> を実行し、スタックトレース全体が一つの <code>message</code> フィールドに格納されているか確認します。</p></li> <li><p><strong>ログ確認</strong>: 実行ログは systemd 経由で取得します。 <code>journalctl -u log-parser.service</code></p></li> </ol> <p>【トラブルシューティングと落とし穴】</p> <ul class="wp-block-list"> <li><p><strong>メモリ消費量</strong>: <code>RS</code> を使って巨大なスタックトレースを読み込む場合、awk プロセスがメモリを消費します。数MB単位の巨大な単一レコードが予想される場合は、<code>getline</code> をループで回し、バッファを制限する設計を検討してください。</p></li> <li><p><strong>RSの挙動差異</strong>: BSD系の <code>awk</code> と GNUの <code>gawk</code> では <code>RS</code> に正規表現が使えるかどうかの差異があります。本スクリプトは <code>gawk</code> を前提としています。</p></li> <li><p><strong>権限不足</strong>: <code>/var/log</code> 配下の読み取りには通常 <code>sudo</code> が必要です。systemd ユニットファイル内で <code>User=log-reader</code> 等の専用ユーザーを定義し、対象ログへの <code>ACL</code> を設定することを推奨します。</p></li> </ul> <p>【まとめ】 運用の冪等性を維持するための3つのポイント：</p> <ol class="wp-block-list"> <li><p><strong>ステート管理</strong>: 処理済みログのオフセット（inodeとバイト位置）を記録し、二重読み込みを防止する。</p></li> <li><p><strong>スキーマの分離</strong>: <code>awk</code> での抽出処理と <code>jq</code> での整形処理を分離し、ログ形式変更への耐性を高める。</p></li> <li><p><strong>安全な一時ファイル</strong>: <code>trap</code> コマンドによる確実なクリーンアップを行い、ディスク逼迫を防止する。</p></li> </ol>

graph TD
A["ログファイル監視"] --> B{"awkによるレコード分離"}
B -->|RS: レコード区切り| C["複数行パターンの抽出"]
C -->|getline: 次行結合| D["一時オブジェクト生成"]
D -->|jq| E["構造化JSON出力"]
E --> F["監視基盤/外部通知"]

#!/bin/bash


# log_processor.sh - 複数行ログの抽出とJSON化

set -euo pipefail # エラー発生時に停止、未定義変数参照禁止、パイプエラーの伝播
IFS=$'\n\t'

# 設定

LOG_FILE="/var/log/app/production.log"
OUTPUT_JSON="/var/log/app/error_report.json"
TMP_FILE=$(mktemp)

# クリーンアップ処理

trap 'rm -f "$TMP_FILE"' EXIT

echo "Starting log extraction at $(date)"

# gawkによる複数行抽出処理


# RS (Record Separator) にタイムスタンプのパターンを指定し、1エントリを1レコードとして処理

gawk '
BEGIN {

    # 2024-05-20 10:00:00 のような形式の行頭を区切り文字に設定 (gawk拡張)

    RS = "\n[0-9]{4}-[0-9]{2}-[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}"
}
/ERROR|CRITICAL/ {

    # RT (Record Terminator) は一致した区切り文字を保持している

    timestamp = gensub(/^\n/, "", "g", RT)
    content = $0

    # 特殊なパターンがあった場合、getlineでさらに後続を読み込む例

    if (content ~ /SpecificException/) {

        # 必要に応じて追加行を取得可能


        # getline extra_line


        # content = content "\n" extra_line

    }

    # JSONの中間形式として整形出力

    printf "%s\t%s\n", (timestamp == "" ? "INIT_START" : timestamp), content
}' "$LOG_FILE" > "$TMP_FILE"

# jqによるJSON構造化とファイル出力

cat "$TMP_FILE" | jq -R -s '
  split("\n") | map(select(length > 0)) | map(
    split("\t") as $parts |
    {
      timestamp: $parts[0],
      level: (if $parts[1] | contains("CRITICAL") then "CRITICAL" else "ERROR" end),
      message: $parts[1] | ltrimstr(" ")
    }
  )
' > "$OUTPUT_JSON"

# curlで外部APIへ通知する例 (コメントアウト)


# curl -X POST -H "Content-Type: application/json" -d @"$OUTPUT_JSON" -L -s https://api.monitoring.example.com/ingest

[Unit]
Description=Run log processor every 5 minutes

[Timer]
OnCalendar=*:0/5
Persistent=true

[Install]
WantedBy=timers.target