Ubuntu sed命令实战指南（手把手教你用sed高效处理日志文件）

什么是sed？

sed 是一个流编辑器（Stream Editor），它逐行读取输入文本，执行指定的编辑命令，并将结果输出到标准输出。它非常适合用于自动化脚本中处理大量文本数据，尤其在Linux日志分析场景中非常实用。

基本语法

最基本的 sed 命令格式如下：

sed [选项] '命令' 文件名  

其中最常用的命令是 s（substitute，替换），格式为：

sed 's/原字符串/替换字符串/' 文件名  

实战：处理Nginx访问日志

假设你有一个 Nginx 访问日志文件 /var/log/nginx/access.log，内容类似如下：

192.168.1.10 - - [10/Apr/2024:08:23:45 +0000] "GET /index.html HTTP/1.1" 200 1234 "-" "Mozilla/5.0..."203.0.113.5 - - [10/Apr/2024:08:25:12 +0000] "POST /login HTTP/1.1" 401 567 "-" "curl/7.68.0"192.168.1.20 - - [10/Apr/2024:08:26:30 +0000] "GET /api/data HTTP/1.1" 200 890 "-" "Python-urllib/3.8"  

1. 替换IP地址为[REDACTED]

出于安全或隐私考虑，你可能想隐藏真实IP。可以使用以下命令：

sed 's/^[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}/[REDACTED]/' /var/log/nginx/access.log  

解释：
- ^ 表示行首
- [0-9]\{1,3\} 匹配1到3位数字
- 整个正则表达式匹配标准IPv4地址

2. 删除包含特定User-Agent的日志行

比如你想过滤掉所有来自 curl 的请求：

sed '/curl/d' /var/log/nginx/access.log  

这里 /curl/d 表示：如果某行包含 "curl"，就删除（d）该行。

3. 将修改结果保存到新文件

默认情况下，sed 只输出到屏幕。若要保存结果，使用重定向或 -i 参数：

# 方法一：输出到新文件sed 's/200/OK/g' access.log > cleaned_access.log# 方法二：直接修改原文件（谨慎使用！）sed -i 's/200/OK/g' access.log  

注意：-i 会直接修改原文件，建议先备份！

常用技巧汇总

• 全局替换：在替换命令末尾加 g，如 s/foo/bar/g，表示替换每行中所有匹配项
• 忽略大小写：使用 I 标志，如 s/error/ERROR/gI
• 多命令组合：用分号连接，如 sed 's/foo/bar/g; /test/d'
• 使用扩展正则：加上 -E 选项，可使用更简洁的正则语法

结语

通过本文，你应该已经掌握了如何使用 Ubuntu sed命令 进行基本的日志文件处理。无论是替换敏感信息、过滤无效日志，还是格式化输出，sed 都是一个强大而高效的工具。结合管道（|）、grep、awk 等命令，你可以构建出更复杂的Linux日志分析流程。

记住：实践是最好的老师。打开你的终端，找一个日志文件试试吧！

关键词回顾：Ubuntu sed命令、日志文件处理、sed文本替换、Linux日志分析。