提前道歉这是我的第一篇文章,希望你能理解它等等。
原始文件
cat trail
PROC_Create root OK Mon Jun 05 16:05:45 2017 bash Global
forked child process 31522922
PROC_Execute root OK Mon Jun 05 16:05:45 2017 audit Global
euid: 0 egid: 0 epriv: ffffffff:ffffffff name audit shutdown
vi and :set list
PROC_Create root OK Mon Jun 05 16:05:45 2017 bash Global $
forked child process 31522922$
PROC_Execute root OK Mon Jun 05 16:05:45 2017 audit Global $
euid: 0 egid: 0 epriv: ffffffff:ffffffff name audit shutdown $
cat trail | oc -d
0226220 G l o b a l
0226240 \n
0226260 f o r k e d c
0226300 h i l d p r o c e s s 3 1 5
0226320 2 2 9 2 2 \n P R O C _ E x e c u
0226340 t e r o o t O
0226360 K M o n J
0226400 u n 0 5 1 6 : 0 5 : 4 5 2
0226420 0 1 7 a u d i t
0226440
0226460 G l o b a l
0226500 \n
0226520 e u i d : 0 e
0226540 g i d : 0 e p r i v : f f
0226560 f f f f f f : f f f f f f f f
0226600 n a m e a u d i t s h u t d
0226620 o w n \n
0226625
期望输出
理想情况下使用一些工具,我可以通过sed / tr / awk等管道跟踪文件。
PROC_Create root OK Mon Jun 05 16:05:45 2017 bash Global forked child process 31522922
PROC_Execute root OK Mon Jun 05 16:05:45 2017 audit Global euid: 0 egid: 0 epriv: ffffffff:ffffffff name audit shutdown
或
PROC_Create root OK Mon Jun 05 16:05:45 2017 bash forked child process 31522922
PROC_Execute root OK Mon Jun 05 16:05:45 2017 audit euid: 0 egid: 0 epriv: ffffffff:ffffffff name audit shutdown
我已经设法删除了回车和单词Global,但我很难在全局中删除回车和/或Global。提前致谢。
我使用了以下内容:
sed 's/Global//g'
tr -d '\n'
但希望用sed完成所有操作,但在尝试删除回车时无法使其工作。
较大的文件样本
S_PASSWD_READ root OK Mon Jun 05 16:05:37 2017 su Global
audit object read event detected /etc/security/passwd
S_PASSWD_READ root OK Mon Jun 05 16:05:37 2017 su Global
audit object read event detected /etc/security/passwd
FILE_Write root OK Mon Jun 05 16:05:37 2017 su Global
file descriptor = 5 filename =
FILE_Write root OK Mon Jun 05 16:05:37 2017 su Global
file descriptor = 3 filename =
PROC_Execute root OK Mon Jun 05 16:05:37 2017 ksh Global
euid: 0 egid: 0 epriv: ffffffff:ffffffff name -ksh
PROC_Create root OK Mon Jun 05 16:05:37 2017 ksh Global
forked child process 40763616
PROC_Execute root OK Mon Jun 05 16:05:37 2017 termdef Global
euid: 0 egid: 0 epriv: ffffffff:ffffffff name termdef
答案 0 :(得分:0)
将sed与:label一起使用,N可以提供帮助,例如:
cat trail | sed ':label;N;s/Global[ \n]*//;N;b label'
<强> EDIT1 :
cat trail | sed '
:label;
N;
s/Global[ \n]*//;
N;
b label'
答案 1 :(得分:0)
尝试:
awk '/^PROC/{sub(/[[:space:]]+Global/,"");val=$0;getline;sub(/^[[:space:]]+/,"");printf("%s\t%s\n",val,$0)}' Input_file
查找以字符串PROC开头的行,如果是这种情况,则将空格替换为字符串Global为NULL,将当前行的值存储到val中。然后使用getline跳转到下一行。现在用行替换初始空格,然后在它们之间用TAB打印val和当前行的值。
EDIT1:现在根据OP的请求更改代码。
awk '!/^[[:space:]]/{sub(/[[:space:]]+Global/,"");val=$0;getline;sub(/^[[:space:]]+/,"");printf("%s\t%s\n",val,$0)}' Input_file
答案 2 :(得分:0)
注意:假设所有输入都包含2行对,其中一对的第二行附加到对中第一行的末尾。
一些(简单的)awk例子让球滚动:
awk '/^[a-zA-Z]/ {printf $0} /^ / {print $0}' trail
-OR -
awk '/^[[:alpha:]]/ {printf $0} /^[[:space:]]/ {print $0}' trail
第一个搜索模式正在查找第一个位置中带有字母(小写或大写)的行;如果找到,请使用 printf 输出整行,但不带最后一个回车符。
第二种搜索模式正在寻找一条作为第一个位置空间的线;如果找到,请使用打印输出整行,最后一个回车符。
借用RavinderSingh13的getline想法消除第二种搜索模式:
awk '/^[[:alpha:]]/ {printf $0 ; getline ; print}' trail
对于以字符开头的每一行,使用 printf 输出整行而不用回车,请阅读下一行打印整行 最后一个回车。