<p>[META] AUTHOR: SRE_DevOps_Consultant STYLE: TECHNICAL_REPORTS CONTEXT: LOG_ANALYSIS_AUTOMATION VERSION: 1.0 [/META]</p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">複雑なスタックトレースを制する：awkのRSとgetlineによる複数行ログ解析の自動化</h1> <h2 class="wp-block-heading">【導入と前提】</h2> <p>Javaの例外スタックトレースやSQLスロークエリ、あるいはsystemdの複数行ログを、「1つのイベント」として抽出・整形する処理を自動化します。従来、grepでは困難だった「パターン間の動的な取り込み」を、awkのレコードセパレータ（RS）とgetline関数を組み合わせて堅牢に実装します。</p> <ul class="wp-block-list"> <li><strong>前提条件</strong>: GNU/Linux環境、GNU awk (gawk) 4.0以降を推奨。</li> </ul> <h2 class="wp-block-heading">【処理フローと設計】</h2> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["Raw Multiline Logs"] --> B{"Set RS / Record Separator"} B --> C["Read Record as Single Unit"] C --> D{"Pattern Match?"} D -- Yes --> E["getline for Contextual Add"] D -- No --> F["Skip/Default Process"] E --> G["Formatting / JSON output"] G --> H["Final Stream / Log Aggregator"] </pre></div> <p>この設計では、行単位（Line-based）ではなく、論理的な意味のまとまり（Record-based）でログを捉えます。<code>RS</code>でレコードの区切りを定義し、必要に応じて<code>getline</code>で後続行を先読み・追加取得することで、文脈を維持した抽出を実現します。</p> <h2 class="wp-block-heading">【実装：堅牢な自動化スクリプト】</h2> <p>以下のスクリプトは、特定のキーワード（例：ERROR）を含むログブロックを検出し、そのブロック内の特定のメタデータを抽出して構造化する実戦的な例です。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/usr/bin/env bash # set -e: エラー発生時に即座に終了 # set -u: 未定義変数の参照時にエラー # set -o pipefail: パイプライン途中のエラーを拾う set -euo pipefail # ログファイルパス LOG_FILE="${1:-/var/log/app/error.log}" OUTPUT_JSON="/tmp/structured_logs.json" # 一時ファイルのクリーンアップ設定 trap 'rm -f "$OUTPUT_JSON"' EXIT echo "Processing logs: ${LOG_FILE}..." # awkによる複数行処理の実装 # 1. RS="---": レコード区切りを特定の文字列に設定 # 2. getline: 条件に合致した際、さらに次行を読み込み結合する awk ' BEGIN { # レコードセパレータを空行、または特定のデリミタに設定（例: タイムスタンプの開始） RS = "\n(?=[0-9]{4}-[0-9]{2}-[0-9]{2})" OFS = "\t" } /ERROR/ { # カレントレコードを取得 record = $0 # 必要に応じて追加情報を取得 # getline var で次行を変数に格納し、パースを継続できる if (record ~ /SpecificException/) { # 特定の例外の場合、追加のコンテキスト情報を付与 "date +%s" | getline timestamp # 外部コマンドの実行例 close("date +%s") # 整形して出力 gsub(/\n/, " ", record) # 改行をスペースに置換して1行化 printf "{\"time\": \"%s\", \"level\": \"ERROR\", \"message\": \"%s\"}\n", timestamp, record } } ' "${LOG_FILE}" > "${OUTPUT_JSON}" # jqを使用して結果を整形表示（SREの運用確認用） if [[ -s "${OUTPUT_JSON}" ]]; then cat "${OUTPUT_JSON}" | jq -r '.message' | head -n 5 else echo "No matching error patterns found." fi </pre> </div> <h3 class="wp-block-heading">systemd ユニットファイル（自動実行用）</h3> <p>定期的なログスクレイピングを行う場合、以下のタイマーユニットで実行を管理します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Log Analysis Task [Service] Type=oneshot ExecStart=/usr/local/bin/log_parser.sh /var/log/app/sys.log User=log-analyzer PrivateTmp=true [Install] WantedBy=multi-user.target </pre> </div> <h2 class="wp-block-heading">【検証と運用】</h2> <ol class="wp-block-list"> <li><p><strong>正常系の確認</strong>: <code>awk</code>が正しくレコードを分離できているか、<code>END { print NR }</code> を末尾に追加して処理されたレコード総数を確認します。</p></li> <li><p><strong>ログの追跡</strong>: スクリプトをsystemd経由で実行している場合、以下のコマンドで実行結果をモニタリングします。</p> <div class="codehilite"> <pre data-enlighter-language="generic">journalctl -u log-analysis.service -f </pre> </div></li> <li><p><strong>RSの正規表現確認</strong>: GNU awkを使用している場合、<code>RS</code>に正規表現が使えるため、複雑なログ形式（マルチラインの開始点）を確実に捕捉できるかテスト用サンプルで検証してください。</p></li> </ol> <h2 class="wp-block-heading">【トラブルシューティングと落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>メモリ消費</strong>: <code>RS</code> を使用して巨大なレコード（1つのログブロックが数GBある等）を読み込むと、awkのメモリ使用量が急増します。ブロックサイズに上限があることを事前に確認してください。</p></li> <li><p><strong>getlineの戻り値</strong>: <code>getline</code> は成功時に1、EOFで0、エラーで-1を返します。ループ内で使用する場合は <code>while ((getline < "file") > 0)</code> のように戻り値をチェックしないと、無限ループや予期せぬ動作の原因となります。</p></li> <li><p><strong>権限の最小化</strong>: ログ読み取りには専用のサービスアカウントを用意し、<code>sudo</code> を乱用せず、読み取り権限のみを持つグループ（例：<code>adm</code> や <code>systemd-journal</code>）に所属させてください。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <p>運用の冪等性と堅牢性を維持するために、以下の3点を意識してください：</p> <ol class="wp-block-list"> <li><p><strong>セパレータの厳密化</strong>: <code>RS</code> には、ログの開始パターン（日付など）を正確に定義し、意図しないレコードの結合を防ぐ。</p></li> <li><p><strong>安全なパイプライン</strong>: <code>set -o pipefail</code> をスクリプトの先頭に配置し、パースエラーを無視して後続処理が進まないようにする。</p></li> <li><p><strong>一時ファイルの管理</strong>: <code>trap</code> コマンドを活用し、処理の中断や異常終了時にも中間ファイルを残さないクリーンな設計を徹底する。</p></li> </ol>

graph TD
A["Raw Multiline Logs"] --> B{"Set RS / Record Separator"}
B --> C["Read Record as Single Unit"]
C --> D{"Pattern Match?"}
D -- Yes --> E["getline for Contextual Add"]
D -- No --> F["Skip/Default Process"]
E --> G["Formatting / JSON output"]
G --> H["Final Stream / Log Aggregator"]

#!/usr/bin/env bash

# set -e: エラー発生時に即座に終了


# set -u: 未定義変数の参照時にエラー


# set -o pipefail: パイプライン途中のエラーを拾う

set -euo pipefail

# ログファイルパス

LOG_FILE="${1:-/var/log/app/error.log}"
OUTPUT_JSON="/tmp/structured_logs.json"

# 一時ファイルのクリーンアップ設定

trap 'rm -f "$OUTPUT_JSON"' EXIT

echo "Processing logs: ${LOG_FILE}..."

# awkによる複数行処理の実装


# 1. RS="---": レコード区切りを特定の文字列に設定


# 2. getline: 条件に合致した際、さらに次行を読み込み結合する

awk '
BEGIN {

    # レコードセパレータを空行、または特定のデリミタに設定（例: タイムスタンプの開始）

    RS = "\n(?=[0-9]{4}-[0-9]{2}-[0-9]{2})" 
    OFS = "\t"
}
/ERROR/ {

    # カレントレコードを取得

    record = $0

    # 必要に応じて追加情報を取得


    # getline var で次行を変数に格納し、パースを継続できる

    if (record ~ /SpecificException/) {

        # 特定の例外の場合、追加のコンテキスト情報を付与

        "date +%s" | getline timestamp # 外部コマンドの実行例
        close("date +%s")

        # 整形して出力

        gsub(/\n/, " ", record) # 改行をスペースに置換して1行化
        printf "{\"time\": \"%s\", \"level\": \"ERROR\", \"message\": \"%s\"}\n", timestamp, record
    }
}
' "${LOG_FILE}" > "${OUTPUT_JSON}"

# jqを使用して結果を整形表示（SREの運用確認用）

if [[ -s "${OUTPUT_JSON}" ]]; then
    cat "${OUTPUT_JSON}" | jq -r '.message' | head -n 5
else
    echo "No matching error patterns found."
fi

[Unit]
Description=Log Analysis Task

[Service]
Type=oneshot
ExecStart=/usr/local/bin/log_parser.sh /var/log/app/sys.log
User=log-analyzer
PrivateTmp=true

[Install]
WantedBy=multi-user.target