摘要:以默認(rèn)的日志格式為例各字段的含義分別是請(qǐng)求者授權(quán)用戶��,如果不使用認(rèn)證方式��,其值為空服務(wù)器時(shí)間戳請(qǐng)求類型如����,等請(qǐng)求路徑不含參數(shù)協(xié)議版本服務(wù)器返回的狀態(tài)碼如���,�����,等服務(wù)器響應(yīng)報(bào)文大小�,單位字段值字段以下列舉常用的日志分析命令根據(jù)狀態(tài)碼進(jìn)行請(qǐng)求
Access logs
以nginx默認(rèn)的日志格式為例:
$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"
各字段的含義分別是:
$remote_addr 請(qǐng)求者IP
$remote_user HTTP授權(quán)用戶��,如果不使用Http-based認(rèn)證方式,其值為空
[$time_local] 服務(wù)器時(shí)間戳
"$request" HTTP請(qǐng)求類型(如GET��,POST等)+HTTP請(qǐng)求路徑(不含參數(shù))+HTTP協(xié)議版本
$status 服務(wù)器返回的狀態(tài)碼(如200�,404,5xx等)
$body_bytes_sent 服務(wù)器響應(yīng)報(bào)文大小�,單位byte
"$http_referer" referer字段值
"$http_user_agent" User Agent字段
以下列舉常用的日志分析命令
根據(jù)狀態(tài)碼進(jìn)行請(qǐng)求次數(shù)排序
cat access.log | cut -d """ -f3 | cut -d " " -f2 | sort | uniq -c | sort -r
輸出樣例:
210433 200
38587 302
17571 304
4544 502
2616 499
1144 500
706 404
355 504
355 301
252 000
9 403
6 206
2 408
2 400
或者使用awk:
awk "{print $9}" access.log | sort | uniq -c | sort -r
上例顯示有704次404請(qǐng)求,接下來是如何找到這些請(qǐng)求的URL
awk "($9 ~ /404/)" access.log | awk "{print $7}" | sort | uniq -c | sort -r
輸出樣列:
21 /members/katrinakp/activity/2338/
19 /blogger-to-wordpress/robots.txt
14 /rtpanel/robots.txt
接下來考慮如果找到這些請(qǐng)求的IP地址�,使用命令:
awk -F" "($2 ~ "/wp-admin/install.php"){print $1}" access.log | awk "{print $1}" | sort | uniq -c | sort -r
輸出樣例:
14 50.133.11.248
12 97.106.26.244
11 108.247.254.37
10 173.22.165.123
php后綴的404請(qǐng)求(通常是嗅探)
awk "($9 ~ /404/)" access.log | awk -F" "($2 ~ "^GET .*.php")" | awk "{print $7}" | sort | uniq -c | sort -r | head -n 20
按URL的請(qǐng)求數(shù)排序
awk -F" "{print $2}" access.log | awk "{print $2}" | sort | uniq -c | sort -r
url包含XYZ:
awk -F" "($2 ~ "ref"){print $2}" access.log | awk "{print $2}" | sort | uniq -c | sort -r
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/39056.html
