基于linux分析系统登录日志代码

已于 2023-06-13 09:24:28 修改
阅读量684 收藏 1
点赞数 1
分类专栏: linux 文章标签: linux 运维 服务器
于 2023-06-07 11:05:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52128116/article/details/131083654
版权

基于linux分析系统登录日志代码

#!/bin/bash
#功能描述(Description):分析系统登陆日志,过滤异常IP地址,并通过防火墙禁用该IP.

#强制退出时关闭所有后台进程.
trap 'kill $one_pid; kill $five_pid; kill $fifteen_pid; exit' EXIT INT

#日志文件路径.
LOGFILE=/var/log/secure
BLOCKFILE=/tmp/blockip.txt

one_minute(){
    while :
    do
        #获取计算机当前时间,以及1分钟前的时间,时间格式:
        #%b(月份简写,Jan)  %e(日期,1) %T(时间 18:00:00)
        #LANG=C的作用是否防止输出中文.
        #使用local定义局部变量的好处是多个函数使用相同的变量名也不会冲突.
        local curtime_month=$(LANG=C date  +"%b")
        local curtime_day=$(LANG=C date  +"%e")
        local curtime_time=$(LANG=C date  +"%T")
        local one_minus_ago=$(LANG=C date -d "1 minutes ago" +"%T")
        #将当前时间转换为距离1970-01-01 00:00:00的秒数,方便后期计算.
        local curtime_seconds=$(LANG=C date +"%s")
        #分析1分钟内所有的日志,如果密码失败则过滤倒数第4列的IP地址.
        #通过管道对过滤的IP进行计数统计,提取密码失败次数大于等于3次的IP地址.
        #awk调用外部Shell的变量时,双引号在外面表示字符串("''"),单引号在外边表示数字('""').
        pass_fail_ip=$(awk '
                       $1=="'$curtime_month'" &&   \
                       $2=='"$curtime_day"'   &&   \
                       $3>="'$one_minus_ago'" &&   \
                       $3<="'$curtime_time'"       \
                       { if($6=="Failed" && $9!="invalid") {print $(NF-3)}}' $LOGFILE | \
                       awk '{IP[$1]++} END{ for(i in IP){ if(IP[i]>=3) {print i} } }')
        #将密码失败次数大于3次的IP写入黑名单文件,
        #每次写入前都需要判断黑名单中是否已经存在该IP.
        #写入黑名单时附加时间标记,实现仅将IP放入黑名单特定的时间,
        #如:密码失败3次后,禁止该IP在20分钟内再次访问服务器.
        for i in $pass_fail_ip
        do
           if ! grep -q "$i" $BLOCKFILE ;then
               echo "$curtime_seconds $i" >> $BLOCKFILE
           fi
        done
        #提取无效账户登陆服务器3次的IP地址,并将其加入黑名单.
        user_invalid_ip=$(awk '
                       $1=="'$curtime_month'" &&   \
                       $2=='"$curtime_day"'   &&   \
                       $3>="'$one_minus_ago'" &&   \
                       $3<="'$curtime_time'"       \
                       { if($6=="Invalid") {print $(NF-2)}}' $LOGFILE | \
                       awk '{IP[$1]++} END{ for(i in IP){ if(IP[i]>=3) {print i} } }')
        for j in $user_invalid_ip
        do
           if ! grep -q "$j" $BLOCKFILE ;then
               echo "$curtime_seconds $j" >> $BLOCKFILE
           fi
        done
        sleep 60
    done
}

five_minutes(){
    while :
    do
        #获取计算机当前时间,以及5分钟前的时间,时间格式:
        #%b(月份简写,Jan)  %e(日期,1) %T(时间 18:00:00)
        #使用local定义局部变量的好处是多个函数使用相同的变量名也不会冲突.
        local curtime_month=$(LANG=C date  +"%b")
        local curtime_day=$(LANG=C date  +"%e")
        local curtime_time=$(LANG=C date  +"%T")
        local one_minus_ago=$(LANG=C date -d "5 minutes ago" +"%T")
        #将当前时间转换为距离1970-01-01 00:00:00的秒数,方便后期计算.
        local curtime_seconds=$(LANG=C date +"%s")
        #分析5分钟内所有的日志,提取3次密码错误的IP地址并加入黑名单.
        pass_fail_ip=$(awk '
                       $1=="'$curtime_month'" &&   \
                       $2=='"$curtime_day"'   &&   \
                       $3>="'$one_minus_ago'" &&   \
                       $3<="'$curtime_time'"       \
                       { if($6=="Failed" && $9!="invalid") {print $(NF-3)}}' $LOGFILE | \
                       awk '{IP[$1]++} END{ for(i in IP){ if(IP[i]>=3) {print i} } }')
        for i in $pass_fail_ip
        do
           if ! grep -q "$i" $BLOCKFILE ;then
               echo "$curtime_seconds $i" >> $BLOCKFILE
           fi
        done
        #提取错误用户名登陆服务器3次的IP地址,并将其加入黑名单.
        user_invalid_ip=$(awk '
                       $1=="'$curtime_month'" &&   \
                       $2=='"$curtime_day"'   &&   \
                       $3>="'$one_minus_ago'" &&   \
                       $3<="'$curtime_time'"       \
                       { if($6=="Invalid") {print $(NF-2)}}' $LOGFILE | \
                       awk '{IP[$1]++} END{ for(i in IP){ if(IP[i]>=3) {print i} } }')
        for j in $user_invalid_ip
        do
           if ! grep -q "$j" $BLOCKFILE ;then
               echo "$curtime_seconds $j" >> $BLOCKFILE
           fi
        done
        sleep 300
    done
}

fifteen_minutes(){
    while :
    do
        #获取计算机当前时间,以及15分钟前的时间,时间格式:
        #%b(月份简写,Jan)  %e(日期,1) %T(时间 18:00:00)
        #使用local定义局部变量的好处是多个函数使用相同的变量名也不会冲突.
        local curtime_month=$(LANG=C date  +"%b")
        local curtime_day=$(LANG=C date  +"%e")
        local curtime_time=$(LANG=C date  +"%T")
        local one_minus_ago=$(LANG=C date -d "15 minutes ago" +"%T")
        #将当前时间转换为距离1970-01-01 00:00:00的秒数,方便后期计算.
        local curtime_seconds=$(LANG=C date +"%s")
        #分析15分钟内所有的日志,提取3次密码错误的IP地址并加入黑名单.
        pass_fail_ip=$(awk '
                       $1=="'$curtime_month'" &&   \
                       $2=='"$curtime_day"'   &&   \
                       $3>="'$one_minus_ago'" &&   \
                       $3<="'$curtime_time'"       \
                       { if($6=="Failed" && $9!="invalid") {print $(NF-3)}}' $LOGFILE | \
                       awk '{IP[$1]++} END{ for(i in IP){ if(IP[i]>=3) {print i} } }')
        for i in $pass_fail_ip
        do
           if ! grep -q "$i" $BLOCKFILE ;then
               echo "$curtime_seconds $i" >> $BLOCKFILE
           fi
        done
        #提取错误用户名登陆服务器3次的IP地址,并将其加入黑名单.
        user_invalid_ip=$(awk '
                       $1=="'$curtime_month'" &&   \
                       $2=='"$curtime_day"'   &&   \
                       $3>="'$one_minus_ago'" &&   \
                       $3<="'$curtime_time'"       \
                       { if($6=="Invalid") {print $(NF-2)}}' $LOGFILE | \
                       awk '{IP[$1]++} END{ for(i in IP){ if(IP[i]>=3) {print i} } }')
        for j in $user_invalid_ip
        do
           if ! grep -q "$j" $BLOCKFILE ;then
               echo "$curtime_seconds $j" >> $BLOCKFILE
           fi
        done
        sleep 1200
    done
}

#每隔20分钟检查一次黑名单,清理大于20分钟的黑名单IP.
clear_blockip(){
    while :
    do
        sleep 1200
        #将当前时间转换为距离1970-01-01 00:00:00的秒数,方便后期计算.
        local curtime_seconds=$(LANG=C date +"%s")
        #awk调用外部shell变量的另一种方式是使用-v选项.
        #当前时间减去黑名单中的时间标记,大于等于1200秒(20分钟)则将其从黑名单中删除.
        tmp=$(awk -v now=$curtime_seconds '(now-$1)>=1200 {print $2}' $BLOCKFILE)
        for i in $tmp
        do
            sed -i "/$i/d" $BLOCKFILE
        done
    done
}

> $BLOCKFILE
one_minute  &
one_pid="$!"
five_minutes &
five_pid="$!"
fifteen_minutes &
fifteen_pid="$!"
clear_blockip

实验结果

在连接远程登录设备,连续输出5次,运行代码可以查看

 

echo盖世汤圆
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WriteLog:基于 Linux 的应用层日志系统 C 代码实现
05-11
WriteLog 基于 Linux 的应用层日志系统 C 代码实现 对于程序的说明如下: 1.WriteLog.h 和 WriteLog.c 是分别是日志系统的头文件和源代码文件,Test.c 是对日志系统进行测试的代码。 2.WriteLog.c 中,各函数的作用如下: (1)LogLevel:获取对应的日志等级。 (2)GetTime:获取当前日志生成的时间。 (3)GetConfigValue:获取各配置项的值。 (4)GetStringContentValue:获取字符串的值。 (5)GetConfigFileStringValue:从配置文件中获取属性为字符串的配置项的值。 (6)GetConfigFileIntValue:从配置文件中获取属性为整型的配置项的值。 (7)WriteLogFile:将日志内容写到日志文件中。 具体各函数的实现流程请详细阅读代码。 3.WriteLo
Linux-基于python实现的linux后台日志监控小项目
08-05
一到周末,公司总是会让我们人肉监控服务器状态(因为技术还没到互联网层公司的技术,没有自动化---例如工具Ansible之类的,ε=(´ο`*)))唉) 所以,我觉得这种东西如果可以实现一个远程自动化的监控工具是再好不过了,周末可以省下大把时间去浪
Linux系统设计-2014年给某家公司开发一套基于集群的后台日志分析系统,操作系统linux,开发语言c++
01-10
2014年给某家公司开发一套基于集群的后台日志分析系统,操作系统linux,开发语言c++。程序分为三部分,我保存的是属于自己开发的控制server,另外还有日志server和媒体处理server。另外还有一套基于php的xmlweb展示系统。数据库不在项目内,无法本地运行。但系所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!Linux系统是一个免费使用和自由传播的类Unix操作系统,基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统Linux是许多企业和服务提供商的首选操作系统,用于部署Web服务器、数据库服务器、邮件服务器等。Linux系统具有高效的网络功能和稳定的性能,因此被广泛应用于服务器领域,Linux是云计算的核心组成部分,被广泛用于构建云平台和云服务。许多知名的云计算服务提供商都采用Linux系统作为其基础架构,一些游戏平台和游戏开发工具采用Linux作为支持的操作系统,例如Steam平台上的某些游戏。Linux
shell--技巧
evsqiezi
03-15 683
日志分页 lasttime=`date +%s`     while [ 1 -eq 1 ]    do     sleep 5       nowtime=`date +%s`    timespan=`expr $nowtime - $lasttime`     if [ $timespan -gt 259200 ];then      lasttime=`date +
Openwrt系统初始时间
学一点IOT
08-31 2592
一般Openwrt系统较多用于网络方面的产品,比如路由器,但路由器几乎都没有硬件RTC,因此系统初始时间不准. 在Openwrt系统中,初始时间可以认为有2个, 固件编译时间和文件系统加载后的初始时间 关于固件编译时间,即为Linux kernel 编译时间, 即是/proc/version内容,比如: root@UVCOSS:~# cat /proc/version Linux version 4.14.221 (xxxx) (gcc version 7.5.0 (OpenWrt GCC 7.5.
大数据之Hadoop集群搭建(4个节点)
qq_44373783的博客
01-13 6292
大数据必备–搭建集群(四个节点) 初学大数据肯定第一步先搭建集群,虽然不知道怎么用,但是先搭建集群是你大数据学习之旅的第一步,操作步骤有以下这几步,用的centos系统 对四台虚拟机进网络和静态IP设置 Hadoop、jdk的安装 创建hadoop文件目录 导入jdk和hadoop的环境变量 修改hadoop配置文件 修改虚拟机主机名 绑定hostname与ip地址 关闭防火墙 配置节点之间的...
Linux中日期的加减运算
jiaoshengha的专栏
04-22 1832
因为需要将日志文件发送到ftp中保存,但是同一个日志文件可能存了2-3天的内容,为减少后期“因为每天存一个日志,而内容有重复”这一工作量,在发送到ftp时,检测其“修改时间差”来命名文件。 1. 脚本语句中if判断内不支持ftp的打开/关闭,所以不能用if+“修改时间差”来判断是否打开ftp保存文件。 2.所以,依旧是每天保存一份,只是如果文件没修改,则保存为上一次(即修改当日的)文件名...
linux日志分析步骤,Linux系统日志分析的基本教程
weixin_36328790的博客
05-01 1398
首先,我们将描述有关 Linux 日志是什么,到哪儿去找它们,以及它们是如何创建的基础知识Linux 系统日志许多有价值的日志文件都是由 Linux 自动地为你创建的。你可以在 /var/log 目录中找到它们。下面是在一个典型的 Ubuntu 系统中这个目录的样子:一些最为重要的 Linux 系统日志包括:/var/log/syslog 或 /var/log/messages 存储所有的全局系统...
java监控Linux系统日志,java监控linux日志
weixin_31411313的博客
05-06 714
java监控linux日志[2021-02-08 09:05:27]简介:系统运维《UNIX/Linux网络日志分析与流量监控》实验环境下载1.Ossim 4.1 虚拟机下载(适合2~4G内存的服务器运行),该虚拟机压缩包内建站服务器这篇文章主要介绍Linux实时查看日志的命令有哪些,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!查看日志linux命令是:tail命...
基于数据挖掘的服务器日志可视化分析系统
Python极客之家
07-02 2188
本项目利用 python 解析 Nginx 的日志信息,包括错误日志和正常日志,解析出访问的 ip、访问方式、访问时间、访问路径、浏览器信息等信息,并从多维度可视化分析。包括:访问的PV/UV时序分析、访问的操作系统分析、访问方法分析 访问协议分析、访问状态码分析、异常访问分析、错误/攻击日志等多维度的分析。...
基于Java的Slog批量日志查询系统设计源码
04-09
该项目为用户提供了一个多Linux、多文件批量的日志查询系统,通过界面交互和功能模块,为用户提供了一个高效、易用的日志查询解决方案。前端基于Vue2.x和ElementUI,后端基于SpringBoot、Mybatis-Plus、SpringMVC和...
基于标签的用户行为日志大数据分析系统.zip
02-19
包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。 包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python...
查看linux系统日志某一天,linux系统日志查看
weixin_42513216的博客
05-02 2425
系统 日志文件( 可以通过cat 或tail 命令来查看)/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一/var/log/secure 与安全相关的日志信息/var/log/maillog 与邮件相关的日志信息/var/log/cron 与定时任务相关的日志信息/var/log/spooler 与UUCP和news设备相关的日志信息/v...
对某linux服务器登录连接日志分析
weixin_44023460的博客
12-26 1139
1.1对某linux服务器登录连接日志分析 1.1.1Linux记录用户登录信息文件 Linux操作系统登录连接连接日志文件有var/log/wtmp、/var/log/btmp和/var/run/utmp,这三个文件均为二进制文件,并且三个文件结构完全相同,是由/usr/include/bits/utmp.h文件定义了这三个文件的结构体,它们无法通过编辑器直接查看其详细内容,通过notepad等工具可以查看部分内容。 1./var/run/utmp utmp记录当前正在登录系统的用户信息 2/var/lo
Linux系统结构
热门推荐
农民工老王的博客
04-11 6万+
Linux系统的组成和结构进行了介绍。
linux---进程通信
最新发布
m0_74979625的博客
05-17 550
提示:以下是本篇文章正文内容,下面案例可供参考。
Linux】Centos7安装Redis
m0_72166275的博客
05-17 314
Reid 官网下载 Redis 7.2。
Linux 三十六章
一怀明月的博客
05-17 985
信号量 sem_init sem_destroy sem_wait sem_post 基于环形队列的CP问题 环形队列的生产者消费者模型 线程池 localtime时间戳转化 mkdir系统调用 bind绑定成员函数 懒汉饿汉单例模式 懒汉模式: 饿汉模式: 懒汉和饿汉相同点: 线程池源码实现
Linux动静态库
2301_80163789的博客
05-14 627
在程序翻译的链接阶段,其实就是把一堆.o文件链接在一起形成.exe文件。如果一个程序中需要链接很多个.o文件,那么这些.o文件就需要被打包才方便管理,**库文件本质就是把.o文件打包。**库文件是一种提高开发效率的手段。对于静态库,使用静态库形成可执行程序后,静态库被加载到了可执行程序的代码里,不需要让系统知道静态库在哪里;但对于动态库,由于动态库不加载到可执行程序里,而是动态加载到内存中,所以使用动态库要告诉系统动态库在哪(因为是系统来加载动态库)。动态库在编译时代码不会被复制到可执行文件中,而是。
Linux系统学习分析
03-29
Linux是一种自由和开放源代码的操作系统,它基于Unix操作系统,被广泛应用于服务器、工作站和移动设备等领域。Linux系统具有高度的稳定性、安全性和灵活性,因此被广泛应用于各种领域,例如云计算、大数据、人工智能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值