A logok elemzése akkor kezd szép lenni, amikor egy grep-ek és 'grep -v'-k segítségével már nem kapjuk meg azt az eredményt, amit szeretnénk. Ennek a legjobb példája, amikor a logfájlban lévő sorok közötti összefüggéseket szeretnénk összevonni, tulajdonképpen egysorosítani a több sorban elhelyezkedő eseményt. Egyértelműbb, ha ezt tranzakciós listázásnak, vagy tranzakció-kezelésnek hívjuk.
Ennek a listázásnak a lényege, hogy a logban egy összetett esemény különböző időpontban végrehajtott lépései külön bejegyzésként szerepelnek. Ezek akár jöhetnek különböző helyekről is, de szoros összefüggés van közöttük, amit a logsorokban szereplő valamilyen tranzakció azonosító valósít meg.
Nézzünk egy konkrét példát, egy postfix mail szerver levélforgalmát. Az alábbi logok egy levél beérkezését és kézbesítését mutatják először sima szövegként, majd a LOGalyze kereső felületén.
Mar 8 03:57:02 zv11 postfix/smtpd[26680]: AEC329E907: client=localhost.localdomain[127.0.0.1]
Mar 8 03:57:02 zv11 postfix/qmgr[3097]: AEC329E907: from=, size=1445, nrcpt=1 (queue active)
Mar 8 03:57:03 zv11 postfix/smtp[26684]: AEC329E907: to=, relay=mx.hu[1.2.3.4]:25, delay=0.58, delays=0.03/0/0.08/0.46, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 3V3GbM1jg9zKCWC)
Mar 8 03:57:03 zv11 postfix/qmgr[3097]: AEC329E907: removed
Elég nehézkes ezt így kezelni, sokkal jobb lenne, ha egy tranzakció (levélküldés) adatait egy sorban látnánk, és abban csak a szükséges adatok lennének: időpont, queueid, from, to, státusz.
Ha van egy LOGalyze-unk, akkor nem kell ehhez semmi különös, csak egy varázsszó a kereső kifejezés végére, ami pontosan tudja, hogy egy tranazkció hogy épül fel, melyik logsorokból áll, melyik mező hol helyezkedik el. Ez a varázsszó pedig a '| postfix_accounting'. Lássuk az eredményt:
Természetesen ez csak egy konkrét megvalósítás. Az elv az, hogy ha tudjuk, hogy melyik az összekötő kapocs, mikor kezdődik, mikor van vége egy tranzakciónak, és milyen mezőket szeretnénk kiszedni belőle, akkor további egyéni tranzakciók listázására is lehetőség van.
Ezt a listát pedig természetesen CSV formátumban exportálva könnyedén feldolgozhatjuk, vagy továbbíthatjuk.
