日志管理分析1
secure中是sshd的日志,grep过滤出需要的信息(-v是反选),awk取出ip
i=$10代表以空格分隔第10个字符串,count[ip1]++就是个数组,END是文档结尾后,最后遍历数组并输出
sort是排序,-n按数字排序,-r代表降序
head -10 是前十行,>到文件
sudo cat secure | grep "Invalid" | awk '{i=$10;count[i]++}END{for(i in count)print(count[i],i)}' | sort -n -r | head -10 > /home/anonymous/Documents/ssh_invalid_user_ip.txt
sudo tac secure | grep "Jun 8" | grep "Received disconnect" | awk '{i=$9;count[i]++}END{for(i in count)print(count[i],i)}' | sort -n -r | head -10 > /home/anonymous/Documents/ssh_disconnect_ip.txt
两条命令直接得到了一直爆我密码的ip和疯狂连接ssh服务的ip
然后分析web日志,指定日期,排除200,先用"wc -l"看下行数,不多再用more查看,这时能看到一些404的url,大概是在做目录扫描,然后还有一些垃圾数据不知道做什么用的。内存CPU很小,经不起折腾,有空做点防护,不然哪天网站又打不开了
cat www.wangguixiu.top.log | grep "8/Jun" | grep -v " 200 " | more