awk流编辑器的使用

一.awk工作原理

逐行读取文本，默认以空格或tab键为分隔符进行分隔，将分隔所得的各个字段保存到内建变量中，并按模式或者条件执行编辑命令

sed命令常用于一整行的处理，而awk比较倾向于将一行分成多个"字段"然后再进行处理。awk信息的读入也是逐行读取的，执行结果可以通过print的功能将字段数据打印显示。在使用awk命令的过程中,可以使用逻辑操作符"s&“表示"与、“II表示"或”、”!"表示"非*，还可以进行简单的数学运算，如+、-、*、/、%、^分别表示加、减、乘、除、取余和乘方。

二.命令格式

awk 选项 '模式或条件 {操作} '  文件1  文件2 .
awk -f 脚本文件  文件1  文件2 ...

awk 常见的内建变量（可直接用） 如下所示：

FS : 列分割符。指定每行文本的字段分隔符，默认为空格或制表位。与"-F"作用相同
NF : 当前处理的行的字段个数。
NR : 当前处理的行的行号(序数）
$0 : 当前处理的行的整行内容。
$n : 当前处理行的第n个字段(第n列)
FILENAME : 被处理的文件名。
RS : 行分隔符。awk从文件上读取资料时,将根据Rs的定义把资料切割成许多条记录, 
而awk一次仅读入一条记录,以进行处理。预设值是'\n '

按行输出文本：

awk '{print}' 1.txt                    输出所有内容
awk '{print $0}' 1.txt                 输出所有内容

awk 'NR==1,NR==3{print}' 1.txt         输出第1-3行内容
awk '(NR>=1)&&(NR<=3){print}' 1.txt    输出第1-3行内容
awk 'NR==1||NR==3{print}' 1.txt        输出第1行 或者 第3行内容

awk '(NR%2)==1{print}' 1.txt           输出所有奇数行的内容
awk '(NR%2)==0{print}' 1.txt           输出所有偶数行的内容

awk '/^root/{print}' 1.txt             输出以root开头的内容
awk '/root$/{print}' 1.txt    	       输出以root结尾的内容

awk 'BEGIN {x=0};/\/bin \/bash$/{x++};END {print x}' /etc/passwd

统计以/bin/bash结尾的行数，等同于grep -c
" / bin/ bash$" /etc/passwd

BEGIN模式表示，在处理指定的文本之前，需要先执行BEGIN模式中指定的动作:
 awk再处理指定的文本，之后再执行END模式中指定的动作，END{}语句块中，往往会放入打印结果等语句

按字段（列）输出文本

awk -F "：" '{print $3}' 1.txt             输出每个行中的第3个字段  以 ：分隔 ；awk 默认是空格分隔
awk -F ":" '{print $1,$3}' 1.txt          以 ：输出以 ： 分隔的所有内容的第1个字段和第3个字段
awk '{print $1,$3}' 1.txt                  输出以空格分隔出来的第1个字段和第3个字段
awk -F ":" '$3<5 {print $1,$3}' 1.txt      输出以 ：分隔的第3个字符小于5的第1和第3个字段的内容
awk -F ":" '!($3<5) {print}' 1.txt         输出第3个字段不小于5的行的内容
awk -F ":" '{max=($3>$4)?$3:$4;{print max}}' 1.txt                                                  如果第3个字段的值大于等于第4个字段的值，则把第3个字段赋值给max,否则把第4个字符赋值给max
awk -F ":" '{print NR,$0}' 1.txt           输出每行内容和行号，每处理完一条记录，NR值加1
awk -F ":" '$2~"bash"{print $1}' 1.txt     找出第2列包含bash的行 ，找出这些行中的第1列

awk -F ":" '($1~"root")&&(NF==7){print $1,$2}' 1.txt                                 输出第一个字符中包含root 且只有7个字段的行的第1 ，2个字段

awk -F ":" '($NF!="/bin/bash")&&($NF!="/sbin/nologin") {print}' /etc/passwd
输出第7个字段既不为/bin/bash，也不为/sbin/nologin的所有行

通过管道，双引号调用 shell 命令：

echo $PATH | awk 'BEGIN{RS=":"};END{print NR}'
统计以冒号分隔的文本段落数，END()语句中，会放入打印结果等语句

awk -F: '/ bash$ / {print l "wc -l"}'/etc/passwd
#调用wc -l命令统计使用bash 的用户个数,等同于grep -c "bash$" /etc/passwd

free -m | awk '/Mem:/ {print int($3/($3+$4)*100)"%")’
#查看当前内存使用百分比

top -b -n1 | grep Cpu | awk -F ',' '{print $4}' | awk ' {print $1"%"} '
#查看当前CPU空闲率，( -b -n 1 表示只需要1次的输出结果）

echo "A BC D" | awk '{OFS=" | " ; print $0;$1=$1;print $0 } '

$1=$1是用来激活$0的重新赋值，也就是说字段$1...和字段数NF的改变会促使awk重新计算$o的值,通常是在改变oFs后而需要输出$0时这样做

使用awk 统计 httpd 访问日志中每个客户端IP的出现次数?

答案:
awk ‘{ip[$1]++}END{for(i in ip){print ip[i],i}’ /var/log/httpd/access_log | sort -r
备注:定义数组，数组名称为ip，数字的下标为日志文件的第1列（也就是客户端的IР地址)，++的目的在于对客户端进行统计计数，客户端IP出现一次计数器就加1。END中的指令在读取完文件后执行，通过循环将所有统计信息输出，for循环遍历的是数组名ip的下标。

过滤密码失败的命令

awk ‘BEGIN {ip[$11]=0}; /Failed password/ {ip[$11]++};END {for(i in ip){print i,ip[i]}}’ /var/log/secure