Linux awk编辑器及命令

一、awk编辑器

1.工作原理

逐行读取文本，默认以空格或tab键为分隔符进行分隔，将分隔所得的各个字段保存到内建变量中，并按模式或者条件执行编辑命令。
sed命令常用于一整行的处理，而awk比较倾向于将一行分成多个“字段”然后再进行处理。awk信息的读入也是逐行读取的，执行结果可以通过print的功能将字段数据打印显示。在使用awk命令的过程中,可以使用逻辑操作符“&&”表示“与”、“||”表示“或”、“!”表示“非”；还可以进行简单的数学运算，如+、-、*、/、%、^分别表示加、减、乘、除、取余和乘方。

2.命令格式

awk 选项 '模式或条件 {操作}' 文件 1 文件 2 …
awk -f 脚本文件 文件 1 文件 2 …

3.awk常见的内建变量如下所示：

FS：列分割符。指定每行文本的字段分隔符，默认为空格或制表位。与"-F"作用相同
NF：当前处理的行的字段个数。
NR：当前处理的行的行号（序数）。
$0：当前处理的行的整行内容。
$n：当前处理行的第n个字段（第n列）。
FILENAME：被处理的文件名。
RS：行分隔符。awk从文件上读取资料时,将根据RS的定义把资料切割成许多条记录,而awk一次仅读入一条记录,以进行处理。预设值是’\n’

二、按行输出文本

awk '{print}' /etc/passwd 				#输出所有内容
awk '{print $0}' /etc/passwd		#输出所有内容

 

awk 'NR==1,NR==3 {print $0}' test1	#输出第 1~3 行内容
awk '(NR>=1)&&(NR<=3) {print}' test1 #输出第 1~3 行内容
awk '(NR>=1)&&(NR<=3) {print $0}' test1 #输出第 1~3 行内容

awk 'NR==1||NR==3{print}' test1		#输出第1行、第3行内容

awk '(NR%2)==1{print}' test1 		#输出所有奇数行的内容
awk '(NR%2)==0{print}' test1		#输出所有偶数行的内容

 

awk '/^root/{print}' /etc/passwd		#输出以 root 开头的行

awk '/nologin$/{print}' /etc/passwd		#输出以 nologin 结尾的行

awk 'BEGIN {x=0};/\/bin\/bash$/{x++};END {print x}' /etc/passwd		
#统计以/bin/bash 结尾的行数，等同于 grep -c "/bin/bash$"   /etc/passwd

 BEGIN模式表示，在处理指定的文本之前，需要先执行BEGIN模式中指定的动作；awk再处理指定的文本，之后再执行END模式中指定的动作，END{}语句块中，往往会放入打印结果等语句

三、按字段输出文本

awk -F ":" '{print $3}' /etc/passwd 		#输出每行中(以":"分隔)的第3个字段

awk -F ":" '{print $1,$3}' /etc/passwd		#输出每行中的第1、3个字段

 

awk -F ":" '$3<5{print $1,$3}' /etc/passwd	#输出第3个字段的值小于5的第1、3个字段内容

awk -F ":" '!($3<200){print}' /etc/passwd 	#输出第3个字段的值不小于200的行

awk 'BEGIN {FS=":"};{if($3>=200){print}}' /etc/passwd	
#先处理完BEGIN的内容，再打印文本里面的内容

awk -F ":" '{max=($3>$4)?$3:$4;{print max}}' /etc/passwd		
#($3>$4)?$3:$4三元运算符，如果第3个字段的值大于第4个字段的值，则把第3个字段的值赋给max，否则第4个字段的值赋给max

awk -F ":" '{print NR,$0}' /etc/passwd		#输出每行内容和行号，每处理完一条记录，NR值加1

awk -F ":" '$7~"/bash"{print $1}' /etc/passwd	#输出以冒号分隔且第7个字段中包含/bash的行的第1个字段

awk -F ":" '($1~"root")&&(NF==7){print $1,$2}' /etc/passwd	
#输出第1个字段中包含root且有7个字段的行的第1、2个字段

awk -F ":" '($7!="/bin/bash")&&($7!="/sbin/nologin"){print}' /etc/passwd	
#输出第7个字段既不为/bin/bash，也不为/sbin/nologin的所有行

 四、通过管道、双引号调用 Shell 命令

echo $PATH | awk 'BEGIN{RS=":"};END{print NR}'		
#统计以冒号分隔的文本段落数，END{}语句块中，往往会放入打印结果等语句

echo $PATH | awk 'BEGIN{RS=":"};{print NR,$0}'

 

awk -F: '/bash$/{print | "wc -l"}' /etc/passwd		
#调用 wc -l 命令统计使用 bash 的用户个数,等同于 grep -c "bash$" /etc/passwd

使用管道符将命令结果传给"wc -l"。如果在{ }内使用"wc -l" ，一定要加双引号。

使用 "grep -c" 统计匹配行的行数。
grep -c "bash$" /etc/passwd

 

free |awk '/Mem:/ {print int($3/$2*100)"%"}'   #统计内存使用率
free命令可以查看内存使用情况。

使用率=使用的内存数量/总内存数量。

int表示取整数。

 

top -b -n 1 | grep Cpu | awk -F ',' '{print $4}' | awk '{print $1}'		
#查看当前CPU空闲率，（-b -n 1 表示只需要1次的输出结果）

 

date -d "$(awk -F "." '{print $1}' /proc/uptime) second ago" +"%F %H:%M:%S"		
#显示上次系统重启时间，等同于uptime；second ago为显示多少秒前的时间，+"%F %H:%M:%S"等同于+"%Y-%m-%d %H:%M:%S"的时间格式

五、指定输出时的列分隔符 

FS 输入时的列分隔符。

OFS 输出内容的列分隔符。（$1=$1用于激活，否则不生效）

[root@localhost ~]# echo "A B C D"
A B C D
[root@localhost ~]# echo "A B C D" |tr " " "|"
A|B|C|D
[root@localhost ~]# echo "A B C D" |sed 's/ /|/g'
A|B|C|D
[root@localhost ~]# echo "A B C D" |awk 'BEGIN{OFS="|"};{$1=$1;print $0}'
A|B|C|D

awk 'BEGIN {while ("w" | getline) n++ ; {print n-2}"%"}'	
#调用w命令,并用来统计在线用户数

 

awk 'BEGIN {"hostname" | getline ; {print $0}}'			
#调用 hostname,并输出当前的主机名

当getline左右无重定向符“<”或“|”时，getline作用于当前文件，读入当前文件的第一行给其后跟的变量var或$0；应该注意到，由于awk在处理getline之前已经读入了一行，所以getline得到的返回结果是隔行的。
当getline左右有重定向符“<”或“|”时，getline则作用于定向输入文件，由于该文件是刚打开，并没有被awk读入一行，只是getline读入，那么getline返回的是该文件的第一行，而不是隔行。

seq 10 | awk '{print $0; getline}'   输出奇数行
seq 10 | awk '{getline; print $0}'   输出偶数行

六、使用awk去重（awk数组特性） 

在awk中可以定义数组，数组元素的下标值可以是字符串（要加双引号），元素值如果是字符串也要加引号。

1.定义数组

[root@localhost ~]# awk 'BEGIN{a[0]=10 ;a[1]=20; print a[0]}'
10
[root@localhost ~]# awk 'BEGIN{a[0]=10 ;a[1]=20; print a[1]}'
20
[root@localhost ~]# awk 'BEGIN{a["abc"]=10 ;a["xyz"]=20; print a["abc"]}'
10

2、打印数组内的所有元素值及对应下标值。

[root@localhost ~]# awk 'BEGIN{a[0]=10;a[1]=20;a[2]=30; for(i in a){print i,a[i]}}'
0 10
1 20
2 30

3、打印出文件中重复的行，以及重复次数。

[root@localhost ~]# cat test2
111
222
222
333
444
444
555
666
444
777
111
222
333
888
[root@localhost ~]# awk '{a[1]++; print a[1]}' test2
1
2
3
4
5
6
7
8
9
10
11
12
13
14
[root@localhost ~]# awk '{a[$1]++};END{for(i in a){print i,a[i]}}' test2
444 3
666 1
888 1
111 2
333 2
555 1
777 1
222 3

 

  $1第一个字段（列）的值  []里代表列的值  把列的值作为数组的下标去看待  然后去匹配行的内容，匹配一次加1  通过for循环，打印出下标的值和出现的次数

实验

通过分析日志 /var/log/secure 查看哪些主机在暴力破解本机服务，如果统计出密码验证失败超过三次（不考虑连续性），就把IP加入到黑名单中 /etc/hosts.deny。

[root@localhost ~]# awk '/Failed password/{print $11}' /var/log/secure |sort -n 
192.168.10.23
192.168.10.23
192.168.10.23
192.168.10.23
192.168.10.23
192.168.10.23
统计重复行出现的次数
[root@localhost ~]# awk '/Failed password/{print $11}' /var/log/secure |sort -n |uniq -c
      6 192.168.10.23
判断重复的次数如果大于3次，则在IP前加上"sshd："，并将其追加进/etc/hosts.deny文件中
[root@localhost ~]# awk '/Failed password/{print $11}' /var/log/secure |sort -n |uniq -c| awk '$1>3 {print "sshd:"$2}' >>/etc/hosts.deny
查看etc/hosts.deny文件
[root@localhost ~]# cat /etc/hosts.deny 
#
# hosts.deny	This file contains access rules which are used to
#		deny connections to network services that either use
#		the tcp_wrappers library or that have been
#		started through a tcp_wrappers-enabled xinetd.
#
#		The rules in this file can also be set up in
#		/etc/hosts.allow with a 'deny' option instead.
#
#		See 'man 5 hosts_options' and 'man 5 hosts_access'
#		for information on rule syntax.
#		See 'man tcpd' for information on tcp_wrappers
#
sshd:192.168.10.23

 方法二：利用awk的数组特性

[root@localhost ~]# awk '/Failed password/{a[$11]++};END{for(i in a){print i,a[i]}}' /var/log/secure
192.168.10.23 6