我能从atop1.23数据文件中提取完整的命令行吗？

Question

我的生产服务器有1.23版本的atop，我有一个由它编写的数据文件，我需要从它中提取一个进程的完整命令行。

不幸的是：

• 此版本的atop不会显示超出显示的第80列的数据
• 水平滚动只在1.27中引入
• 较新版本拒绝读取由旧版本编写的数据文件。
• 文件本身是压缩的，所以简单的strings搜索无法工作

有没有办法从我的数据文件中恢复完整的命令行？

Answer 1

编辑。在检查手册页之后，看起来您可以使用以下命令行获得完整的命令行：

atop -r /var/log/atop.log -P PRG

从压缩文件中提取数据的一些一般方法：

我可以使用以下方法从顶层日志文件中提取数据：

xxd -p < /var/log/atop.log |
  fold -w4 |
  awk -v cmd='xxd -r -p | zlib-flate -uncompress | strings' '
    /789c/{if (x) close(cmd); x=1}; x {print | cmd}' |
  grep your-command

其思想是检测zlib头(从789c开始)并将其传递给zlib-flate -uncompress。不是保证防弹，也不是最有效的方法，但对我来说是个诀窍。

zlip-flate -uncompress (qpdf的一部分)的替代品包括openssl zlib -d和pigz -zd。