【Linux命令】AWK 之统计日志中失败登陆的IP和次数

已于 2023-07-18 11:30:19 修改
阅读量702 收藏 1
点赞数 1
分类专栏: linux命令 文章标签: linux 运维
于 2023-07-18 11:24:12 首次发布
本文为博主原创作品,未经许可,严禁转载。
本文链接:https://blog.csdn.net/win7i/article/details/131783069
版权

awk 是三剑客中一把利刃。

统计/var/log/secure日志中出现“Failed”关键词的IP地址及次数。

···
awk 是三剑客中一把利刃。

cat /var/log/secure
Jul 18 10:28:59  sshd[1377656]: Accepted password for root from 172.16.100.66 port 59750 ssh2
Jul 18 10:28:59  sshd[1377656]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jul 18 10:38:20  sshd[1416681]: Accepted password for root from 172.16.100.21 port 62366 ssh2
Jul 18 10:38:20  sshd[1416681]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jul 18 10:58:57  sshd[1502199]: Accepted password for root from 172.16.100.66 port 61038 ssh2
# 可以看到正常的一个访问日志记录,新建一个连接 故意输错密码,让日志记录一下
Jul 18 10:59:13  sshd[1503821]: Failed password for root from 172.16.100.21 port 63802 ssh2
#可以看到错误登陆时的日志记录是这样的。
那么就可以开始使用awk来实现二级标题中的需要了。

先给出命令再来解析

awk '/Failed/ {++ip[$(NF-3)]} END {for (i in ip) print i"="ip[i]}'
  • 敲黑板!

具体解释如下:

  1. cat /var/log/secure 打印输出整个secure日志内容。
  2. awk '/Failed/ {++ip[$(NF-3)]} END {for (i in ip) print i"="ip[i]} 是awk的主要逻辑。
  3. /Failed/ 表示匹配包含"Failed"的行。
  4. $(NF-3) 取每个匹配行的倒数第3列,也就是客户端IP地址。
  5. ++ip[$(NF-3)] 将IP作为数组ip的键,对应的次数加1。
  6. END 块在文件结束时执行。
  7. for (i in ip) print i"="ip[i] 遍历数组ip,打印每个IP及出现次数。
cat /var/log/secure|awk '/Failed/ {++ip[$(NF-3)]} END {for (i in ip) print i"="ip[i]}'
172.16.100.21=1

整体效果就是统计日志中出现“Failed”的IP次数。
这样就可以在之后写一些脚本中使用到啦。
在这里插入图片描述

回眸一笑吟离歌
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux下shell处理nginx日志自动生成ip黑名单
01-20
#shell脚本处理nginx日志自动生成ip黑名单 ##统计访问量前10名的ip并...##blackip.sh 判断ip访问次数是否超过限定值,是就加入黑名单 #!/bin/bash #获取当前日期 data=`date +%Y-%m-%d` #blacklist目录要自己生成,
Shell+Linux命令实现日志分析
09-15
本文将详细介绍如何利用Shell和Linux命令来实现日志分析,特别是针对访问日志统计。 1. 列出当天访问次数最多的IP: 使用`cut`命令以特定字符(通常是空格或逗号)分隔日志条目,提取IP地址(通常是第一字段),...
统计日志ip访问次数并排序的三种方法
菜的不行的IT民工
05-09 2908
1 利用linuxawk命令 grep "GET aaa.log| awk -F " " '{print $NF}' >d:/test.log 假设日志的最后一行是ip地址,则取出日志的最后一行以空格为分隔符并且重定向到d盘下的test.log。 取出之后还可以进一步操作直接统计ip访问的次数并且降序排列。 cat test.log | sed 's/:[0-9]\+//g'| awk '{IP[$1]++}END {for(a in IP) print a"-----"IP[..
使用awk统计分析
javascript_good的博客
06-08 556
awk是一个强大的文本分析工具,相对于grep的查找,sed的编辑,awk在其对数据的分析并生成报告时显得尤为强大,简单说就是awk把文件逐行读入,以空格为默认分隔符,将每行切片,切开的部分再进行分析处理,因为切开的部分使用awk可以定义变量,运算符,流程控制语句进行深度加工与分析。awk分解行记录,获取每一个域的记录域:根据指定符号,把一行记录分解成多个小记录,每个小记录成为域,记录:一行数据awk 分解记录:1.awk -F 分解符号2.awk 默认按照""分解。
运维测试;shell脚本或python : 统计某个⽂件IP地址出现次数,从⾼到低排序
最新发布
2301_77752359的博客
05-11 371
5. ⽤ shell 写⼀个斐波那契数列,输⼊是 N,输出是它的第 N 项。2. 我想从file1读取命令的所有输⼊,将所有输出直接输出到file2,将错误读取到⽂件3,我该如何实现?4. Linux的 ls -l 命令,最左侧的 drwxr-xr-x 等都是什么意思?例如,要将文件设置为所有者可读写、组可读、其他用户可读的权限,可以使用。# 将命令执行结果输出到file2,错误输出到file3。为例,第一个字符表示文件类型,后面的九个字符表示文件权限。命令的输出,最左侧的部分是文件/目录的权限信息。
Linux awk统计日志出现过的IP(或出现次数最多的N个IP)
wgchen
09-10 2045
说明 awk是一个强大的文本分析工具,相对于grep的查找,sed的编辑,awk在其对数据分析并生成报告时,显得尤为强大。简单来说awk就是把文件逐行的读入,以空格为默认分隔符将每行切片,切开的部分再进行各种分析处理。 当前WEB服务器联接次数最多的ip地址 netstat -ntu |awk '{print $5}' |sort | uniq -c| sort -nr 查看日志访问次数最多的前10个IP cat access_log |cut -d ' ' -f 1 | sort |uniq -c |
1 linux网络诊断命令工具_linux诊断网络故障命令(1)
2401_83974173的博客
04-27 475
12、DNS和NS查找工具14、Batfish15、Fiddler17、nload实时监控网络带宽CPU 方面内存IO 设备(磁盘、网络)网络工具mtr更多介绍 : https://mp.weixin.qq.com/s/-lru6FAhkXTo7gLCCfWlyg。
awk常用统计
Yonx
08-31 2096
Linux记录-常用统计awk #统计第一列ip的个数(uniq -c 打印重复行count计数) cat ip.txt | awk '{print $1}' | sort | uniq -c | sort -rn | head -n 10 #统计tcp连接状态个数 netstat -an | awk '/tcp/{print $6}' | sort | uniq -c awk '{print $1}' test.txt | sort | uniq -c #统计第一列ip的个数 awk '{su
Linux日志统计举例.pdf
09-06
1. **查看IP**:使用`cat`命令配合`awk`提取日志IP地址。例如,`cat access_log | awk '{print $1}'`将打印出所有IP地址。 2. **IP排序**:在提取IP地址后,通过`sort`命令对其进行排序。如`cat access_log | ...
linux之cut命令的用法
09-15
`cut`命令Linux系统一个非常实用的文本处理工具,它可以从文件或标准输入选取特定的部分并输出。这个命令通常用于分析和提取文本文件的特定行、字符或字段,尤其是在日志分析、数据处理和脚本编程。下面...
Linux下apache日志分析与状态查看方法
01-10
假设apache日志格式为:118.78.199.98 – – [09/Jan/2010:00:59:59 +0800] “GET /Public/...问题1:在apachelog找出访问次数最多的10个IPawk ‘{print $1}’ apache_log |sort |uniq -c|sort -nr|head -n 10 aw
根据nginx日志统计ip访问量
热门推荐
wudinaniya的博客
10-23 1万+
根据nginx日志统计ip访问量,由浅入深,逐步讲解。涉及命令 awk、sort、uniq nginx access.log 日志内容截图如下: nginx access.log日志统计第一列 ip [root@izbp1845cet96se1qmb5ekz logs]# ls access.log error.log nginx.pid [root@izbp1845c...
linux统计日志文件IP出现次数,显示次数最多的前十,grep,cat,sort,uniq,head,cut,awk
大家的blog
09-14 3462
-n :取消分割多字节字符。仅和 -b 标志一起使用。如果字符的最后一个字节落在由 -b 标志的 List 参数指示的范围之内,该字符将被写出;# -b :以字节为单位进行分割。# sort -nr #(-n)数值排序 并(-r)倒序排序。# -f :与-d一起使用,指定显示哪个区域。# uniq -c #去重并显示重复次数。# -d :自定义分隔符,默认为制表符。# head -10 #命令显示前10行。# -c :以字符为单位进行分割。
使用Linux常用文本处理命令统计日志文件访问量最大的十个IP地址
ZHUZIH6的博客
01-02 6591
sort命令、uniq命令、tr命令、cut命令和split命令相关综合使用
linux命令统计
2303_76655040的博客
06-18 533
Linux个人总结+个人实战+个人培训资料
LINUX:统计日志文件ERROR出现次数
weixin_41546364的博客
05-31 3097
grep 'ERROR' xx.log |wc -l grep是搜索命令 wc命令统计命令,如文件的字符数等,wc -l是统计行数 | 表示管道,上一条命令的输出,作为下一条命令参数,如 echo 'yes' | wc -l wc -c filename:显示一个文件的字节数 wc -m filename:显示一个文件的字符数 wc -l filename:显示一个文件的行数 wc -L filename:显示一个文件的最长行的长度 wc -w filename:显示一个文件的字...
centos的root用户本机登陆闪退其他普通用户正常登陆
qq_34412985的博客
06-02 2809
用ssh远程登陆后查看tail -20 /var/log/secure显示 Jun 1 23:17:27 localhost sshd[6467]: pam_unix(sshd:session): session opened for user root by (uid=0) Jun 1 23:17:28 localhost sshd[6467]: pam_unix(sshd:session): session closed for user root 引起这次的原因是root用户密码忘了,然后启动..
Linux防止暴力破解密码脚本
qianfeng_dashuju的博客
10-20 934
1.认识记录linux记录安全的日志 [root@testpm ~]# cd /var/log/ [root@testpm log]# ls | grep secure secure 2.该日志的内容查看 [root@testpm log]# tail -f secure #表示ssh身份验证失败 Aug 29 23:35:03 testpm sshd[111245]: pam_unix(sshd:auth): authentication failure; logname= uid=0 ..
linux日志生成速率统计,Linux学习29-awk提取log日志信息,统计日志里面ip访问次数排序...
06-02
可以使用 awk 命令来提取 log 日志信息,并统计日志里面 IP 访问次数排序。具体操作如下: 1. 打开 log 文件,使用 awk 命令提取其IP 地址信息: ``` cat log | awk '{print $1}' ``` 这里假设 IP 地址是 log 文件的第一个字段。 2. 统计 IP 地址出现次数,使用 sort 命令按照次数排序: ``` cat log | awk '{print $1}' | sort | uniq -c | sort -rn ``` 其,uniq -c 是统计每个 IP 地址出现次数,sort -rn 是按照次数排序。 3. 如果需要对访问次数进行统计并输出到文件,可以使用以下命令: ``` cat log | awk '{print $1}' | sort | uniq -c | sort -rn > result.txt ``` 以上命令会将结果输出到 result.txt 文件。 4. 如果需要统计日志文件的生成速率,可以使用以下命令: ``` tail -f log | awk '{print $1}' | sort | uniq -c | sort -rn ``` 以上命令会实时输出日志文件 IP 地址的访问次数统计结果,可以通过观察结果来判断日志文件的生成速率。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值