Nginx日志常用分析命令示范(注:日志的格式不同,awk取的项不同。下面命令针对上面日志格式执行)
1.分析日志的方法
1)总请求数
cd /usr/local/nginx/logs/
wc -l access.log |awk '{print $1}'
16625
2)独立IP数
awk '{print $1}' access.log|sort |uniq |wc -l
400
3)每秒客户端请求数 TOP5
awk '{print $6}' access.log|sort|uniq -c|sort -rn|head -5
8766 "GET
1854 "POST
6 "CONNECT
4)访问最频繁IP Top5
awk '{print $1}' access.log|sort |uniq -c |sort -nr |head -5
2838 27.184.246.180
2268 172.26.189.214
576 114.254.0.24
332 223.72.43.2
286 27.187.39.122
5)访问最频繁的URL TOP5
awk '{print $7}' access.log|sort |uniq -c |sort -nr |head -5
6)响应大于5秒的URL TOP5
awk '{if ($7 > 5){print $6}}' access.log|sort|uniq -c|sort -rn |head -5
7)HTTP状态码(非200)统计 Top5
awk '{if ($11 != 200){print $11}}' access.log|sort|uniq -c|sort -rn|head -5
8)分析请求数大于50000的源IP
cat access.log|awk '{print $NF}'|sort |uniq -c |sort -nr|awk '{if ($1 >50000){print $2}}'
9)访问次数最多的前十个IP
awk '{print $1}' access.log | sort | uniq -c | sort -nr | head -n 10
2937 27.184.246.180
2296 172.26.189.214
594 114.254.0.24
332 223.72.43.2
299 27.187.39.122
174 218.12.19.65
147 27.187.36.95
146 27.186.124.88
143 114.254.0.118
125 101.18.141.71
sort -nr 按照数字进行降序排序
unqi -c 合并重复行,并记录重复次数。
sort:对IP部分进行排序
head -n 10:取排在前10位的IP
前面是ip的访问次数,后面是ip,很明显我们需要把访问次数多的ip并且不知道哪里的ip屏蔽掉,如下面结果, 如 27.184.246.180 为不知道是哪的则需要屏蔽:
2、屏蔽IP的方法:
在/usr/local/nginx/conf/目录下面,新建屏蔽ip文件,命名为guolv_ip.conf,以后新增加屏蔽ip只需编辑这个文件即可。
加入如下内容并保存:
deny 27.184.246.180;
在nginx的配置文件nginx.conf中加入如下配置,可以放到http, server, location语句块,需要注意相对路径,本例当中nginx.conf,guolv_ip.conf在同一个目录中。
include guolv_ip.conf;
保存nginx.conf文件,然后测试现在的nginx配置文件是否是合法的:
nginx -t
如果配置没有问题,就会输出:
the configuration file /opt/nginx/conf/nginx.conf syntax is ok
configuration file /opt/nginx/conf/nginx.conf test is successful
如果配置有问题就需要检查下哪儿有语法问题,如果没有问题,需要执行下面命令,重载 nginx 配置文件:
service nginx reload
3、注意:
屏蔽ip的配置文件既可以屏蔽单个ip,也可以屏蔽ip段,或者只允许某个ip或者某个ip段访问。
//屏蔽单个ip访问
deny IP;
//允许单个ip访问
allow IP;
//屏蔽所有ip访问
deny all;
//允许所有ip访问
allow all;
//屏蔽整个段即从123.0.0.1到123.255.255.254访问的命令
deny 123.0.0.0/8
//屏蔽IP段即从123.45.0.1到123.45.255.254访问的命令
deny 124.45.0.0/16
//屏蔽IP段即从123.45.6.1到123.45.6.254访问的命令
deny 123.45.6.0/24
//如果你想实现这样的应用,除了几个IP外,其他全部拒绝,
//那需要你在guolv_ip.conf中这样写
allow 1.1.1.1;
allow 1.1.1.2;
deny all;
单独网站屏蔽IP的方法,把include guolv_ip.conf; 放到网址对应的在server{}语句块,
所有网站屏蔽IP的方法,把include guolv_ip.conf; 放到http {}语句块。
作者:前浪浪奔浪流
链接:https://www.jianshu.com/p/68feb29abe49
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 标签:sort,--,ip,nginx,awk,conf,IP,日志 From: https://www.cnblogs.com/gaoyanbing/p/17622594.html