Commande tail de Linux

La commande tail de Linux est l’un des outils essentiels de l’interface en ligne de commande. La fonction principale de cette commande est d’afficher la fin d’un fichier (texte), autrement dit de limiter la sortie d’une commande Linux à un certain nombre de lignes. La commande tail fait donc partie d’une série qui inclut la commande head de Linux et les commandes 'cat' et 'less'. Les commandes Linux servent toutes à afficher le contenu de fichiers texte.

La commande tail de Linux appartient aux utilitaires de base (Coreutils) GNU. Il s’agit d’une collection de commandes de base pour l’interface en ligne de commande qui sont incluses dans le système de commande open source Linux. Les Coreutils sont publiés sous licence open source et sont disponibles en téléchargement pour une variété de systèmes d’exploitation différents.

La fonction élémentaire de la commande tail de Linux est d’afficher la fin d’un fichier. Il faut savoir que les données écrites dans un fichier se retrouvent à la fin du fichier. La commande tail de Linux permet par conséquent de vérifier si de nouvelles données ont été ajoutées à un fichier. C’est pourquoi elle est appréciée pour analyser les fichiers log.

De nombreux programmes, notamment les serveurs Web comme Apache ou nginx, écrivent des informations d’état dans ce que l’on appelle des fichiers journaux. Dans le cas des journaux de serveur, les fichiers contiennent, entre autres, un horodatage, l’URL de la ressource demandée et l’adresse IP de la partie requérante.

Les fichiers journaux s’agrandissent à chaque requête et deviennent de plus en plus volumineux. Pour limiter leur taille au-delà d’un certain point, les fichiers journaux font habituellement l’objet d’un « roulement ». Le fichier journal est compressé et archivé sous un nouveau nom, et un nouveau fichier journal vide est créé sous le nom d’origine. Voici un aperçu des fichiers journaux courants sous Ubuntu Linux :

La commande tail de Linux est appelée dans l’interface en ligne de commande. Comme il est d’usage, le nom de la commande est saisi, suivi de paramètres facultatifs. La séquence se termine par le nom ou le chemin d’un ou de plusieurs fichiers. Pour commencer, voyons comment écrire un cas général :

Sans options, la séquence la plus simple de la commande tail de Linux est la suivante :

Appelée de cette manière, la commande tail de Linux affiche les dix dernières lignes du fichier spécifié. C’est utile pour visualiser les données les plus récentes écrites dans le fichier.

La commande tail de Linux peut être contrôlée par des paramètres. Les Coreutils comprennent une forme longue pour chaque option et une forme abrégée pour les options les plus fréquemment utilisées. Le tableau ci-dessous donne un aperçu des options les plus utiles :

Les options de base de la commande tail de Linux présentées précédemment fonctionnent de manière identique à celles de la commande head. À ceci près que la commande head affiche le début d’un fichier, tandis que tail en affiche la fin. Mais la commande tail peut aller beaucoup plus loin.

En particulier, elle fournit de multiples options pour suivre les modifications apportées aux fichiers. Avec la commande tail de Linux, les données ajoutées à la fin du fichier peuvent être affichées en continu. Il s’ensuit que tail est particulièrement adaptée au suivi des fichiers journaux. Ce processus est connu sous le nom de « live tail » (« queue en direct » en français). Voici un aperçu des options les plus couramment utilisées :

Dans la documentation des Coreutils, la commande tail de Linux figure dans la section « Output of parts of files » (sortie de parties de fichiers). Le terme « fichiers » s’entend ici au sens large. « Flux de texte » serait plus exact.

Conformément à la philosophie Unix, les commandes de l’interface en ligne de commande utilisent les flux de texte comme format universel d’entrée et de sortie. Les flux de texte sont surtout des fichiers, mais aussi des entrées et sorties standard de la ligne de commande. Par ailleurs, les « pipes » (« tubes » en français) revêtent une grande importance. En effet, ils permettent d’enchaîner plusieurs commandes. La sortie d’une commande est alors transférée comme entrée à la commande suivante.

L’idée d’enchaîner plusieurs commandes découle de la philosophie Unix. Plutôt que de développer des commandes complexes pour des tâches entièrement différentes, il existe un ensemble relativement succinct de commandes générales. Suivant la devise « Fais une chose et fais-la bien », chaque commande a une fonctionnalité étroitement délimitée. Les commandes utilisent les flux de texte comme interface universelle et peuvent être combinées pour créer des solutions toujours nouvelles.

Les exemples généraux suivants utilisent les options de base de la commande tail de Linux présentées au début. Pour des exemples d’utilisation des options avancées, lisez la partie sur la surveillance des fichiers journaux ci-dessous.

La plupart des exemples combinent la commande tail à une ou à plusieurs autres commandes Linux. Les pipes susmentionnés servent à reprendre la sortie d’une commande comme entrée de la commande suivante.

Dans le cas le plus simple, on utilise la commande tail de Linux pour sortir les dernières lignes d’un fichier. Pour l’essayer, remplacez le caractère générique '<fichier>' par le nom ou le chemin d’un fichier texte présent sur votre système. Ici, nous utilisons l’option -n et nous sortons les trois dernières lignes d’un fichier :

Il est souvent utile de garder à l’esprit le contexte du fichier traité avec la commande tail. Pour sortir les lignes avec des numéros de ligne, nous traitons d’abord le fichier avec la commande nl (qui signifie « line numbering », soit « numérotation de ligne »), et nous transférons la sortie à la commande tail à l’aide d’un pipe :

La commande history affiche les commandes saisies dans la ligne de commande. Ce sont souvent les derniers appels qui ont un intérêt. De surcroît, une sortie complète de l’historique des commandes pourrait révéler des données sensibles. Ici, nous transférons la sortie de la commande history à la commande tail et nous sortons les cinq dernières lignes :

Voyons maintenant un exemple plus complexe. Nous allons supprimer les dix fichiers les plus anciens d’un répertoire contenant des fichiers de sauvegarde. Pour ce faire, nous utilisons les quatre commandes Linux 'ls', 'tail', 'xargs' et 'rm' :

Que se passe-t-il exactement ici ?

1. La commande ls liste les fichiers du répertoire.

Avec l’option '-t', les fichiers sont triés par date de modification. Les fichiers les plus anciens se retrouvent en bas de la liste.

Nous employons le schéma de recherche '*.bak' pour la source de données. Il s’agit d’une extension de fichier courante pour les fichiers de sauvegarde. C’est, de plus, un moyen de se protéger afin d’éviter une suppression accidentelle de fichiers importants.

Nous transférons la liste des fichiers à la commande tail à l’aide d’un pipe.

1. En utilisant la commande tail sans indiquer d’options, nous sortons les dix derniers fichiers de la liste. Les noms de fichier affichés sont les fichiers les plus anciens du répertoire.
2. La commande xargs récupère la liste de fichiers et le nom de la commande. La commande est exécutée et les fichiers sont transmis comme arguments.

Dans notre exemple, la commande tail de Linux renvoie un texte de plusieurs lignes. Chaque ligne contient le nom d’un fichier à supprimer. À l’aide de 'xargs', les noms de fichier sont dissociés des lignes et transmis comme arguments à la commande rm.

1. Pour supprimer des fichiers sous Linux, on recourt à la commande rm. Celle-ci supprime les fichiers transmis comme arguments.

Veillez à ce que les fichiers ne soient pas déplacés dans la corbeille et aussitôt supprimés.

La prudence est de rigueur quand il est question de supprimer des fichiers dans la ligne de commande Linux. Pour mettre en pratique notre exemple sans craindre pour vos données, nous vous conseillons de créer au préalable un répertoire avec des fichiers de test. À cette fin, exécutez le code suivant dans l’interface en ligne de commande :

Pour commencer, nous créons un répertoire de test nommé 'tail-test/' sur le bureau et nous accédons à ce répertoire. Ensuite, nous créons 100 fichiers de test vides, 'test-1.bak' à 'test-100.bak'. Lorsque c’est fait, nous exécutons le code pour supprimer les dix fichiers les plus anciens :

Jusqu’ici, nous avons vu simplement le fonctionnement général de la commande tail de Linux. Dans les exemples suivants, nous nous penchons sur le suivi en direct de fichiers journaux de serveur (« live tail »).

Dans ces exemples, nous imaginons qu’il s’agit d’un serveur Web Apache2 sous Ubuntu Linux. Les fichiers journaux se trouvent dans le répertoire '/var/log/apache2/'. L’emplacement peut différer sur les autres distributions Linux. Il en va de même pour les autres serveurs Web, tels que nginx.

Un appel normal de la commande tail affiche une fois seulement le nombre de lignes spécifié d’un fichier. Si de nouvelles données sont ajoutées à la fin du fichier par la suite, il est nécessaire d’exécuter à nouveau la commande. Mais il existe des options avancées pour ce cas précis. Elles permettent de surveiller les modifications d’un fichier et de les sortir en continu.

Voyons comment cela fonctionne en prenant pour exemple le journal d’accès du serveur Web Apache2. Nous appelons la commande tail de Linux avec l’option -f et transmettons le nom du fichier journal :

Les modifications apportées au journal d’accès sont ainsi affichées en continu. Cependant, cette méthode n’est pas pratique lorsqu’il y a beaucoup d’accès par unité de temps. Dans ce cas, le journal change si rapidement que le terminal est inondé de données. Appuyez sur le raccourci 'Ctrl+C' pour annuler l’exécution de la live tail.

Appelée avec l’option '-f', la commande tail de Linux surveille le fichier spécifié. Si elle est supprimée, la sortie est interrompue. Comme expliqué plus haut, les fichiers journaux font l’objet d’un roulement périodique. Un nouveau fichier est donc créé sous l’ancien nom. Pour continuer à suivre un fichier journal malgré le roulement, il faut employer l’option -F :

Pour l’instant, nous avons utilisé la commande tail de Linux pour traiter seulement un fichier. Or, cette commande permet également de surveiller plusieurs fichiers en même temps. À cet effet, nous utilisons le schéma de recherche '*.log' pour suivre en continu tous les fichiers portant l’extension '.log' :

Il existe deux autres possibilités pour traiter plusieurs fichiers. On peut d’une part utiliser l’option '-q' pour supprimer la sortie des noms de fichier :

De même, l’option -v peut être utilisée pour forcer la sortie des noms de fichier. C’est judicieux si le schéma de recherche ne renvoie qu’un seul fichier :

Dans les exemples précédents, nous avons surveillé un fichier journal en vue de suivre n’importe quelle modification. En réalité, il est plus répandu de restreindre cette fonction à certaines modifications. Pour limiter l’affichage des modifications d’un fichier journal à un schéma de recherche, il faut recourir à la commande grep. Voici un exemple général de cette méthode :

Dans les faits, il est souvent intéressant de surveiller un journal de serveur pour détecter les accès par une adresse IP particulière. Cela peut s’avérer utile par exemple pour déterminer si une attaque contre un serveur est terminée ou toujours en cours. Ici, nous surveillons le journal d’accès d’un serveur Web Apache concernant les requêtes provenant de l’adresse IP '93.184.216.34' :

Examinons un autre cas de figure fréquent. Au lieu de filtrer le journal d’accès par adresse IP, nous surveillons les accès à une ressource spécifique. Un accès au fichier 'robots.txt' indique une requête provenant d’un robot d’indexation de moteur de recherche. Là encore, nous avons recours à la commande grep. Avec cette commande, seuls les nouveaux accès entrants des robots sont affichés :