日志分析

最新推荐文章于 2024-04-23 16:59:41 发布
最新推荐文章于 2024-04-23 16:59:41 发布
阅读量384 收藏 3
点赞数

一、 应急背景

日志量过大,说明里面可能有扫描、爆破、爬虫等等操作,那么先提取出出现次数最多前几位IP,分析是否有以上行为。


二、日志分割

一般的编辑器无法直接打开大文件文本,如超过4个G大的log文本 。那么该如何做?直接拖到linux主机下用cat vim等相关命令加载,但是加载速度太慢,在此不做推荐。下面介绍利用shell下的split命令切割log文件。

split [-bl] file [prefix] 

split命令参数说明:

-b, 按大小进行切分。可以指定单位BB,KB,MB。-l, 按行数进行切分。
-d, 使用数字后缀。
-a, 指定后缀的长度。
prefix:分割后产生的文件名前缀。

这里我要分割1.log(大小为1个G左右)文件,分成每份300MB,并且前缀为file+三位的数字后缀,那么对应的命令是:

split -b 300MB 1.log -d -a 3 file

[5{YS72XTXIMLJI03JE_3@1.png6KW_V7EZHPS]A8~J[)(ADIN.png这里只做演示,其实1个G的文件,直接cat加载后进行后续操作简单些~比如剔除操作啥的。

二、日志剔除

我们可以看到日志的格式为酱紫的~ 也算符合常规的格式。38@]GZ}A}KN~XABN3BL}()J.png那么想要统计IP出现次数,就需要将每行 – - 之后的所有内容替换为空,使用命令为:

cat 1.log | sed -e 's/ - -.*//g' > out1.log

sed命令参数说明:

-e  以选项中指定的script来处理输入的文本文件(常用于正则表达式)
s   替换指定字符
g   替换每一行内的所有匹配
.*  表示后面任意长度的任意字符

我们打开剔除后的文件out1.log

48]YW)O1Y~DV9H8O7Y}QTLH.png三、日志排序

杂乱无章的日志IP,得将其排序后才能方便阅读。

使用sort命令如下:

sort out1.log > out2.log

打开out2.log,发现已经按照IP的ASCII排序

@C52PE_FM%(UD@PE055AJ_4.png

当然,也可以不用排序直接进行统计,只是为了演示~

四、日志统计

从这里开始,就可以对日志进行统计,附上python脚本:

本python脚本适用于常见格式的web日志。如格式不同,则需要自己修改使用。

提取出出现次数大于1000的IP。

]71[N4A`OC3_0M1)AY2]VKP.png

(H[~{R%SHZZ`8UA63SR`ETP.png 发现有两个IP的次数大于5000次,得重点关注下。

五、日志去重

如果想要将上述的日志排序后的结果进行去重,那么使用如下命令:

sort -u out2.log > out3.log

打开out3.log后:

1HK~P@RM5NL90VZVNLW(P2L.png已经去重完毕。

开到荼蘼Lau
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Log日志详解分析
weixin_44203609的博客
10-27 2870
这里需要了解到grep命令的几个参数含义:grep ‘name’ -A 10 显示匹配内容和后面的10grep ‘name’ -B 10 显示匹配内容和前面的10grep ‘name’ -C 10 显示匹配内容和前后面的10tail -n 11命令则是将当前显示的10内容以及匹配的那一内容展示出现。
查看日志文件的方法
zhaohong_bo的专栏
06-06 2774
对于一般大小日志文件,直接使用tail命令即可。 对于大日志文件,并且还在不停刷新的,使用more或less命令 对于很大的log文件用more不能直接跳到文件末尾向前查看。 这时可以用less来查看文件时,在command模式下按G跳到文件末尾,再使用pageup或pagedown来翻页 less filename_xxx :G 跳到底部,就可以用 上下方向键 或 pageup或pagedow...
日志分析简单总结
最新发布
lizhiiiii的博客
04-23 824
误报:不是攻击而上报成攻击漏报:是攻击而没有防御的情况日志分析可以判断是否误判或者漏判,可以溯源攻击为在护网作为防守方必备的技能(分析NGAF和态势感知,发现异常)
12个超大日志查看搜索工具(win)
黑色的博客
08-17 8687
文本:linux仓库导出的700MB大小的commit记录测试平台:win10,i7-8750,16g,固态崩溃卡死的软件:vscode。
这么分析文件日志,以后就不用加班卷了!
七缀轩
05-17 157
如下是我为你准备的爱心录屏。我同时选中了多个文件,然后在这些文件中搜索关键字“ANR”。结果显示所有打开的文件中有两个文件包含该关键字,这样我就知道这两个文件是有用的,其他的可以不用管。本文重点介绍如何分析大型日志文件的两个主要步骤。第一个是如何在多个文件中找到需要关注的文件,第二个是如何在关注的文件中直观地查看关键字,以便有针对性地解决问题。每个人解决问题的方式都不同,希望可以将更好的方法分享给大家。我认为随着自然语言处理技术的发展,我们可能不需要这些技巧了。
Linux 服务器大量的 log 日志,如何正确看日志快速定位错误?你必须学会!
Java技术栈,分享最主流的Java技术
03-14 1583
点击关注公众号,Java干货及时送达推荐阅读:劝大家别再搞老旧的 Spring Cloud 了!Spring Cloud 2022 正式发布!针对大量log日志快速定位错误地方动态查看日志tail-fcatalina.ou从头打开日志文件catcatalina.ou可以使用 >nanjiangtest.txt 输出某个新日志去查看[root@yeskylogs]#cat-nca...
Web日志安全分析工具 v2.0_日志分析_V2_
09-30
下面我们将深入探讨这款工具以及Web日志分析的相关知识点。 1. **Web日志介绍**:Web服务器在处理HTTP请求时会生成日志文件,这些日志包含了用户访问的详细信息,如请求时间、HTTP方法(GET或POST)、请求URL、HTTP...
SQLSERVER日志分析工具
01-05
SQLSERVER日志分析工具是一种专门针对Microsoft SQL Server数据库系统设计的实用软件,旨在帮助数据库管理员和开发者有效地管理和解析SQL Server的日志数据。日志分析在数据库管理中扮演着至关重要的角色,因为它能...
Nginx日志分析工具2.1.0.zip
06-11
Nginx日志分析工具2.1.0是一款专为Windows平台设计的软件,用于高效地解析、统计和分析Nginx服务器产生的日志文件。Nginx作为一款高性能的Web服务器和反向代理服务器,广泛应用于各类网站和应用程序中。在日常运维...
光年日志分析工具.zip
08-08
光年日志分析工具是一款专为网站管理员设计的高效、便捷的日志分析软件。它能够帮助用户对网站的HTTP(S)日志深入解析,从而获取关于网站性能、访问者为以及潜在问题的详尽信息。这个工具尤其适用于那些需要在...
秋式IIS日志分析器,IIS日志分析
06-21
**IIS日志分析器详解** IIS(Internet Information Services)是微软提供的一个Web服务器服务,用于托管网页应用和服务。在IIS运过程中,它会记录详细的访问日志,这些日志包含了各种与网站交互的信息,如访问者...
运维36讲第21课:Shell 脚本如何作日志分析
sucaiwa的博客
03-21 1025
上个课时我们讲解了日志分析的一些 Linux 命令,如果想对一些偏大型或复杂场景进分析,而又缺乏系统的日志收集检索系统,此时就需要借助脚本(Shell、Python、PhP 等)来帮助我们进日志分析,本课时我们就讲解如何通过 Shell 来进日志分析,并介绍一些比较高效的方法。
处理日志文件
qq309648008的博客
10-01 513
应用给用户提供了免部署解决方案,让用户把jar包上传到应用中,在应用中可以启动/停止用户程序。由于用户与应用并没有对用户程序的日志加以管理,导致用户程序运越久,日志堆积越严重。
Windows下如何查看十几G的日志文件
Strive_789的博客
11-05 6344
周二工作中,为了查明一个bug产生的原因,记录了近30个小时的test环境的日志文件hrmkq.log。拿到的日志文件解压后有30G,这是任何文本编辑器都无法处理大小。这里介绍一下windows环境分析文件的好工具——LogViewer (http://www.uvviewsoft.com/logviewer/index.htm)。 官方介绍 UVviewsoft LogViewer 是一款无限大小文本日志文件的查看器。(UVviewsoft LogViewer is a viewer for t
查看1G以上的日志,查找关键词
haoranhaoshi的博客
07-05 439
使用了很多宣称可以查看1G日志文本编辑工具,打开和查找都很慢,都不尽如人意,最后发现直接用IDEA就可以了!
linux:查找大日志文件中的信息
A15937822658的专栏
01-27 4046
日志中含有大量数据时,比如catalina.out很大,好几个G时,打开文件会很麻烦,可以使用搜索命令,查找最近的异常信息,例如: cat -n catalina.out|grep Exception|tail -10 此命令包括: -n 展示号 grep Exception 搜索Exception字符串 tail -10 展示10条数据 得出内容如下图所示: 然后根据号,查看异常部分的上下文,以724为例,为了查看上下文,使用如下命令查看724+10往前的20行数据,。 .
分析日志的流程
zizizizizi_的博客
03-21 6022
Web日志分析常见方法工具 1.编码 某web日志 URL 编码 BASE64编码 16进制编码(以\x开头) utf-8编码 字符集 Unicode(以\u、\u+、&#x、&#开头),gb2312,gbk 2.利用解码工具 http://www.mxcz.net/tools/Hex.aspx(推荐) 该网站能够支持多种编码,包括base64、url、unicode、UTF-8、GB2312、GBK、16进制等 3.数据提交方式 GET . POST . COOKIE 4.还原日志
百度海量日志分析技术揭秘
文档内容涉及到日志分析的基本过程、百度日志分析的发展历程,以及深入解析LSP平台和DISQL语言。此外,还通过具体的日志示例介绍了如何从日志数据中获取有价值的信息,如用户的地域来源、跳转来源和使用的终端设备。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值