如何在连续审计日志轮换中确定新关闭的文件？

Question

我试图找到确定第二个文件(匹配条件的)何时创建的最佳方法。上下文是一个审计日志轮调。

给定每小时创建审计日志的目录，我需要在已关闭的审计日志上执行解析awk脚本。我的意思是，每隔一个小时就会创建一个新的审计日志，而旧的审计日志将被关闭，其中包含了价值高达1小时的信息。新的日志文件将被单独保存，直到它也被关闭并创建一个新的日志文件。

我可以创建一个bash脚本并使用find /home/tomcat/openam/openam/log -name amAuthentication.* -mmin -60，然后通过一个crontab条目每10分钟执行一次，但是我不知道如何编写它的其余部分。

我认为脚本可以从将那个find的内容保存到一个临时文件开始，并且在每次执行crontab时，比较新的find命令内容，当它改变时，使用temp文件作为awk脚本的输入。完成awk脚本后，将新查找的内容保存到文件中。

一位同事建议我使用旧的“粘性位”来标记已处理的文件。也许这就是前进的道路。

Answer 1

尝试使用inotifywait：

inotifywait -e close_write /home/tomcat/openam/openam/log/CURRENT_OPENED_LOG_FILE