AWK 逻辑控制综合实践：网络与文件信息统计

实践 1-基本信息统计

# 查看当前系统的链接状态数量
ss -ant

# 统计当前主机的连接状态信息
ss -tan | awk '!/State/{state[$1]++}END{for(i in state){print i,state[i]}}'
# 输出示例：LISTEN 5 ESTAB 4 TIME-WAIT 3960

# 发现异常 IP 地址，进行杜绝恶意 IP 地址访问
ss -nt | awk -F'[ :]+' '!/State/{ip[$(NF-2)]++}END{for(i in ip){print i,ip[i]}}' | while read line; do
  ip=$(echo $line | awk '{if($2>1)print $1}')
  [ -z "$ip" ] || echo "iptables -A INPUT -s $ip -j REJECT"
done
# 输出：iptables -A INPUT -s 10.0.0.1 -j REJECT

# 注意：这里为了演示成功，故意将恶意 IP 的频率降低了
# 如果不小心真的添加了防火墙策略，则执行下面的命令实现功能恢复
iptables -vnL INPUT
iptables -D INPUT 1

实践 2-web 访问信息统计

# 获取客户端 IP 地址信息
awk -F '"' 'NR==403 {print $(NF-1)}' /var/log/nginx/access.log
# 输出：114.101.40.170

# 统计访问网站的地址信息
awk -F '"' '{ip[$(NF-1)]++}END{for(i in ip){print i,ip[i]}}' /var/log/nginx/access.log
# 输出示例：60.211.218.78 624 ...

# 统计站点的访问页面信息
awk '{a[$7]++}END{for(v in a)print v,a[v]|"sort -k1 -nr|head -n10"}' /var/log/nginx/access.log
# 输出示例：/nihao 3 /img/html-background.png 1 ...

实践 3-脚本信息统计

# 查看脚本内容
cat net.sh
#!/bin/bash
# 功能：脚本统计主机网络信息
# TCP 连接数量
TCP_Total=$(ss -s | awk '$1=="TCP"{print $2}')
# UDP 连接数量
UDP_Total=$(ss -s | awk '$1=="UDP"{print $2}')
# Listen 监听状态的 TCP 端口数量
Listen_Total=$(ss -antlpH | awk 'BEGIN{count=0} {count++} END{print count}')
# ESTABLISHED 状态的 TCP 连接数量
Estab_Total=$(ss -antpH | awk 'BEGIN{count=0}/^ESTAB/{count++}END{print count}')
# TIME-WAIT 状态的 TCP 连接数量
TIME_WAIT_Total=$(ss -antpH | awk 'BEGIN{count=0}/^TIME-WAIT/{count++}END{print count}')
# 显示主机连接相关信息
echo "TCP 连接总数：$TCP_Total"
echo "UDP 连接总数：$UDP_Total"
echo "LISTEN 状态的 TCP 端口数量：$Listen_Total"
echo "ESTAB 状态的 TCP 连接数量：$Estab_Total"
echo "TIME-WAIT 状态的 TCP 连接数量：$TIME_WAIT_Total"

文件实践

简介

所谓的文件实践，主要是借助于 awk 的数组功能，实现文件的合并格式化等工作。

查看日志的样式

默认日志格式：10.0.0.12 - - [19/Jun/2022:18:13:51 +0800] "HEAD / HTTP/1.1" 200 0 "-" "curl/7.29.0" "114.101.40.170"

期望统计信息：

--------------------------------------------
| ip 地址   |访问次数 |访问 url|访问次数 |
--------------------------------------------
| 60.211.218.78| 1248| /     | 1248|
| 222.217.125.153| 2448| /     | 2448|

准备工作

# 获取 IP 地址
awk -F '("| )' 'NR==404 {print $(NF-1)}' /var/log/nginx/access.log
# 输出：114.101.40.170

# 获取访问页面
awk -F '("| )' 'NR==404 {print $(NF-13)}' /var/log/nginx/access.log
# 输出：/170/

输出统计信息

awk -F '("| )' '
BEGIN{
  printf "--------------------------------------------\n|%-14s|%-4s|%-4s|%-4s|\n--------------------------------------------\n"," ip 地址","访问次数","访问 url","访问次数"
}
{
  a[$(NF-1)][$(NF-13)]++
}
END{
  # 遍历数组，统计每个 IP 的访问总数
  for(ip in a){
    for(uri in a[ip]){
      b[ip] += a[ip][uri]
    }
  }
  # 再次遍历
  for(ip in a){
    for(uri in a[ip]){
      printf "|%16s|%8d|%7s|%8d|\n", ip, b[ip], uri, a[ip][uri]
    }
  }
  printf "--------------------------------------------\n"
}
' /var/log/nginx/access.log

小结