根据每个机器的日志记录规则,awk print 的index可能不一样
查找恶意的嗅探IP
被嗅探程序光顾的多了,被攻击的概率就会增加,对于那种寻找框架漏洞的嗅探程序来说,都是按照固定的url尝试访问,在服务器上日志的记录应该都是404,对于这样的IP,可以考虑加到黑名单
#一段时间内有404记录的IP排序
tail -n 10000 uwsgi.daemonize.log | grep "HTTP/1.1 404" | awk '{print $14}' | sort | uniq -c | sort -n -k 1 -r
访问量最多的IP统计
#这里uwsgi开启了memory-report,可以认为含有address space usage的行为GET/POST请求
tail -n 10000 uwsgi.daemonize.log | grep "address space usage" | awk '{print $14}' | sort | uniq -c | sort -n -k 1 -r | head -n 10
查看nginx连接状态
netstat -n | awk '/^tcp/ {++state[$NF]} END {for(key in state) print key,"t",state[key]}'
网友评论