首先查找nginx日志中访问次数最多的ip
cat access_nginx.log | grep "/send" | awk '{print $(1)}' | sort | uniq -c | sort -k 1 -n -r|head -100
cat 查看文件access_nginx.log 文件。
grep 管道查找指定字符的接口。
awk后面跟一个指令,awk '{print $(NF-1)}'就是打印出日志内容的第几列。$1就是第一列,$(NF)就是总列数,那么我要根据倒数第二列统计,就是$(NF-1)。 那么我要根据第一列统计,就是$(1)
sort就是对内容进行排序,默认是自然顺序排序。
uniq指令用于排重,而是只适用于相邻两行相同的情况。所以一般结合sort使用。即先sort排序再排重。
uniq -u是只显示唯一的记录行。uniq -c是显示有重复记录的情况。
sort -k 1 -n -r这个指令,参看下面sort指令参数的详细说明
sort选项与参数:
-f :忽略大小写的差异,例如 A 与 a 视为编码相同;
-b :忽略最前面的空格符部分;
-M :以月份的名字来排序,例如 JAN, DEC 等等的排序方法;
-n :使用『纯数字』进行排序(默认是以文字型态来排序的);
-r :反向排序;
-u :就是 uniq ,相同的数据中,仅出现一行代表;
-t :分隔符,默认是用 [tab] 键来分隔;
-k :以哪个区间 (field) 来进行排序的意思
所以 sort -k 1 -n -r 指令的意思就是对第一列按照纯数字逆序排序。
这个纯数字是哪里来的呢?是uniq -c来的,原来剩下一列就是IP了,当执行uniq -c指令时,它会统计重复记录的次数并把这次数显示在第一列。所以现在有两列了,第一列是重复次数,第二列是IP。所以这里是按照重复次数排序。
head -10这个不用说了吧,显示前10行。
再以上操作中 我们查出来了访问最高的几个ip如
17894 117.28.244.16
17414 118.190.153.129
16860 111.6.79.108
接下来对 这些ip 做 限制。
/usr/local/nginx/conf 新建 black_ip_list.conf 文件
vim /usr/local/nginx/conf/black_ip_list.conf
写入
deny 117.28.244.16;
deny 118.190.153.129;
deny 111.6.79.108;
保存后,如果想在当前服务器上的所有请求禁止 black_ip_list.conf 内的ip访问。则在nginx.conf中的 http {} 添加
include black_ip_list.conf;
若只在某个域名下 则再 域名对用的server{} 添加
include black_ip_list.conf;
reload nginx 即可生效