Grepping-Protokolle für IP-Adressen

Bin ich ganz schlecht "basic?" unix-Befehle und-diese Frage stellt mein wissen noch mehr zu testen. Was ich tun möchte, ist grep alle IP-Adressen aus einem Protokoll (z.B. Zugang.log von apache) und zählen Sie, wie oft Sie auftreten. Kann ich das mit einem Befehl oder muss ich ein Skript schreiben?

Haben Sie einen Blick auf meine Antwort in unix stackexchange: unix.stackexchange.com/a/389565/249079

InformationsquelleAutor Paul Peelen | 2011-04-20

  1. 13

    Benötigen Sie eine kurze pipeline mindestens.

    sed -e 's/\([0-9]\+\.[0-9]\+\.[0-9]\+\.[0-9]\+\).*$/\1/' -e t -e d access.log | sort | uniq -c

    Dem drucken wird jede IP (nur ipv4), sortiert mit dem Präfix Zählung.

    Getestet habe ich es mit apache2 access.log (es ist konfigurierbar, so dass Sie brauchen werden, um zu überprüfen), und es funktionierte für mich. Es übernimmt die IP-Adresse ist das erste, was in jeder Zeile.

    Der sed sammelt die IP-Adressen (eigentlich sieht es aus für 4 Sätze von Ziffern, mit Punkten dazwischen), und ersetzt die gesamte Zeile. -e t weiterhin die nächste Zeile, wenn es gelungen ist, auf eine substitution, die -e d löscht die Zeile (wenn es keine IP-Adresse auf Sie). sort sortiert.. 🙂 Und uniq -c zählt Instanzen von aufeinander folgenden, identischen Zeilen (die, da wir haben sortiert, entspricht der Gesamtzahl).

    InformationsquelleAutor falstro

  2. 2

    können Sie Folgendes tun (wo datafile der name der log-Datei)

    egrep '[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}' datafile | sort | uniq -c

    edit: verpasst den Teil über das zählen-Adresse, nun

    Dies scheitert, als egrep wird, drucken Sie die gesamte Zeile mit Zeitstempel und jede Zeile wird eindeutig sein, Sie müssen herausgreifen die IP-Adresse und entfernen Sie den rest der Zeile (oder in irgendeiner anderen Art und Weise betrachten nur die IP, wenn die überprüfung der Eindeutigkeit)

    InformationsquelleAutor Stewart Dale

  3. 1

    Keine Antworten präsentiert hier für mich gearbeitet, so ist hier ein zu arbeiten:

    cat yourlogs.txt | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" | sort | uniq -c | sort

    es nutzt grep zu isolieren alle ips. dann sortiert, zählt und sortiert das Ergebnis wieder.

    InformationsquelleAutor David Nathan

  4. 0

    egrep '[[:digit:]]{1,3}(.[[:Ziffer:]]{1,3}){3}' |awk '{print $1}'|sort|uniq -c

    Dies könnte tatsächlich scheitern, als Dave Tarsi weist darauf hin, es werde fangen Sachen wie browser-Versionen die gültigen IP-Adressen. Sie müssen wissen, wo die IP-Adresse auf die Zeile (Anfang), und wählen Sie nur diese Zeilen.

    InformationsquelleAutor Snowwolf

  5. 0

    Folgenden ist ein Skript, das ich schrieb vor einigen Jahren. Es greps Adressen von apache access logs. Ich habe es gerade ausprobiert unter Ubuntu 11.10 (oneiric) 3.0.0-32-generic #51-Ubuntu SMP Thu Mar 21 15:51:26 UTC 2013 i686 i686 i386 GNU/Linux
    Es funktioniert einwandfrei. Verwenden Sie Gvim oder Vim verwenden, um Lesen Sie die resultierende Datei, welche aufgerufen wird unique_visits, die Liste die einzigartige ips in einer Spalte. Der Schlüssel dazu ist in den Zeilen mit grep. Diese Ausdrücke funktionieren, extrahieren Sie die ip-Adresse zahlen. Nur IPV4. Möglicherweise müssen Sie gehen durch und update browser version zahlen. Ein weiteres ähnliches Skript, das ich schrieb für ein Slackware-system ist hier:
    http://www.perpetualpc.net/srtd_bkmrk.html 

    #!/bin/sh
#eliminate search engine referals and zombie hunters. combined_log is the original file
egrep '(google)|(yahoo)|(mamma)|(query)|(msn)|(ask.com)|(search)|(altavista)|(images.google)|(xb1)|(cmd.exe)|(trexmod)|(robots.txt)|(copernic.com)|(POST)' combined_log > search
#now sort them to eliminate duplicates and put them in order
sort -un search > search_sort
#do the same with original file
sort -un combined_log > combined_log_sort
#now get all the ip addresses. only the numbers
grep -o '[0-9][0-9]*[.][0-9][0-9]*[.][0-9][0-9]*[.][0-9][0-9]*' search_sort > search_sort_ip
grep -o '[0-9][0-9]*[.][0-9][0-9]*[.][0-9][0-9]*[.][0-9][0-9]*' combined_log_sort > combined_log_sort_ip
sdiff -s combined_log_sort_ip search_sort_ip > final_result_ip
#get rid of the extra column
grep -o '^\|[0-9][0-9]*[.][0-9][0-9]*[.][0-9][0-9]*[.][0-9][0-9]*' final_result_ip > bookmarked_ip
#remove stuff like browser versions and system versions
egrep -v '(4.4.2.0)|(1.6.3.1)|(0.9.2.1)|(4.0.0.42)|(4.1.8.0)|(1.305.2.109)|(1.305.2.12)|(0.0.43.45)|(5.0.0.0)|(1.6.2.0)|(4.4.5.0)|(1.305.2.137)|(4.3.5.0)|(1.2.0.7)|(4.1.5.0)|(5.0.2.6)|(4.4.9.0)|(6.1.0.1)|(4.4.9.0)|(5.0.8.6)|(5.0.2.4)|(4.4.8.0)|(4.4.6.0)' bookmarked_ip > unique_visits

exit 0

    InformationsquelleAutor Dave Tarsi

  6. -1

    Mit sed:

    $ sed 's/.*\(<regex_for_ip_address>\).*/\1/' <filename> | sort | uniq -c

    Können Sie suchen und finden, regex verfügbar für ip-Adresse auf Inernet und ersetzen Sie es mit <regex_for_ip_address>. z.B. Aus den Antworten auf eine ähnliche Frage auf stackoverflow

    Dies könnte tatsächlich scheitern, als Dave Tarsi weist darauf hin, es werde fangen Sachen wie browser-Versionen die gültigen IP-Adressen. Sie müssen wissen, wo die IP-Adresse auf die Zeile (Anfang), und wählen Sie nur diese Zeilen.

    InformationsquelleAutor sahaj

  7. -1
    cat access.log |egrep -o '[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}' |uniq -c|sort

    InformationsquelleAutor cint

Schreibe einen Kommentar