shell

服务器日志分析

1、查看有多少个IP访问：

awk '{print $1}' log_file|sort|uniq|wc -l

2、查看某一个页面被访问的次数：

grep "/index.php" log_file | wc -l

3、查看每一个IP访问了多少个页面：

awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file > log.txt
sort -n -t ' ' -k 2 log.txt  # 配合sort进一步排序

4、将每个IP访问的页面数进行从小到大排序：

awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n

5、查看某一个IP访问了哪些页面：

grep ^111.111.111.111 log_file| awk '{print $1,$7}'

6、去掉搜索引擎统计的页面：

awk '{print $12,$1}' log_file | grep ^\"Mozilla | awk '{print $2}' |sort | uniq | wc -l

7、查看2015年8月16日14时这一个小时内有多少IP访问:

awk '{print $4,$1}' log_file | grep 16/Aug/2015:14 | awk '{print $2}'| sort | uniq | wc -l

8、查看访问前十个ip地址

awk '{print $1}' |sort|uniq -c|sort -nr |head -10 access_log
uniq -c 相当于分组统计并把统计数放在最前面

cat access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -10

cat access.log|awk '{counts[$(11)]+=1}; END {for(url in counts) print counts[url], url}

9、访问次数最多的10个文件或页面

cat log_file|awk '{print $11}'|sort|uniq -c|sort -nr | head -10
访问量最大的前20个ip

cat log_file|awk '{print $11}'|sort|uniq -c|sort -nr|head -20

awk '{print $1}' log_file |sort -n -r |uniq -c | sort -n -r | head -20

10、通过子域名访问次数，依据referer来计算，稍有不准

cat access.log | awk '{print $11}' | sed -e ' s/http:\/\///' -e ' s/\/.*//' | sort | uniq -c | sort -rn | head -20

11、列出传输大小最大的几个文件

cat www.access.log |awk '($7~/\.php/){print $10 " " $1 " " $4 " " $7}'|sort -nr|head -100

12、列出输出大于200000byte(约200kb)的页面以及对应页面发生次数

cat www.access.log |awk '($10 > 200000 && $7~/\.php/){print $7}'|sort -n|uniq -c|sort -nr|head -100

13、如果日志最后一列记录的是页面文件传输时间，则有列出到客户端最耗时的页面

cat www.access.log |awk '($7~/\.php/){print $NF " " $1 " " $4 " " $7}'|sort -nr|head -100

14、列出最最耗时的页面(超过60秒的)的以及对应页面发生次数

cat www.access.log |awk '($NF > 60 && $7~/\.php/){print $7}'|sort -n|uniq -c|sort -nr|head -100

15、列出传输时间超过 30 秒的文件

cat www.access.log |awk '($NF > 30){print $7}'|sort -n|uniq -c|sort -nr|head -20

16、列出当前服务器每一进程运行的数量，倒序排列

ps -ef | awk -F ' ' '{print $8 " " $9}' |sort | uniq -c |sort -nr |head -20

17、查看apache当前并发访问数

对比httpd.conf中MaxClients的数字差距多少

netstat -an | grep ESTABLISHED | wc -l

18、可以使用如下参数查看数据

ps -ef|grep httpd|wc -l
1388
统计httpd进程数，连个请求会启动一个进程，使用于Apache服务器。
表示Apache能够处理1388个并发请求，这个值Apache可根据负载情况自动调整

netstat -nat|grep -i "80"|wc -l
4341
netstat -an会打印系统当前网络链接状态，而grep -i "80"是用来提取与80端口有关的连接的，wc -l进行连接数统计。
最终返回的数字就是当前所有80端口的请求总数

netstat -na|grep ESTABLISHED|wc -l
376
netstat -an会打印系统当前网络链接状态，而grep ESTABLISHED 提取出已建立连接的信息。 然后wc -l统计
最终返回的数字就是当前所有80端口的已建立连接的总数。

netstat -nat||grep ESTABLISHED|wc
可查看所有建立连接的详细记录

19、输出每个ip的连接数，以及总的各个状态的连接数

netstat -n | awk '/^tcp/ {n=split($(NF-1),array,":");if(n<=2)++S[array[(1)]];else++S[array[(4)]];++s[$NF];++N} END {for(a in S){printf("%-20s %s\n", a, S[a]);++I}printf("%-20s %s\n","TOTAL_IP",I);for(a in s) printf("%-20s %s\n",a, s[a]);printf("%-20s %s\n","TOTAL_LINK",N);}'

20、其他的收集

分析日志文件下 2012-05-04 访问页面最高 的前20个 URL 并排序

cat access.log |grep '04/May/2012'| awk '{print $11}'|sort|uniq -c|sort -nr|head -20
查询受访问页面的URL地址中 含有 www.abc.com 网址的 IP 地址

cat access_log | awk '($11~/\www.abc.com/){print $1}'|sort|uniq -c|sort -nr
获取访问最高的10个IP地址 同时也可以按时间来查询

cat linewow-access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -10
时间段查询日志时间段的情况

cat log_file | egrep '15/Aug/2015|16/Aug/2015' |awk '{print $1}'|sort|uniq -c|sort -nr|head -10
分析2015/8/15 到 2015/8/16 访问"/index.php?g=Member&m=Public&a=sendValidCode"的IP倒序排列

cat log_file | egrep '15/Aug/2015|16/Aug/2015' | awk '{if($7 == "/index.php?g=Member&m=Public&a=sendValidCode") print $1,$7}'|sort|uniq -c|sort -nr
($7~/.php/) $7里面包含.php的就输出,本句的意思是最耗时的一百个PHP页面

cat log_file |awk '($7~/\.php/){print $NF " " $1 " " $4 " " $7}'|sort -nr|head -100
列出最最耗时的页面(超过60秒的)的以及对应页面发生次数

cat access.log |awk '($NF > 60 && $7~/\.php/){print $7}'|sort -n|uniq -c|sort -nr|head -100
统计网站流量（G)

cat access.log |awk '{sum+=$10} END {print sum/1024/1024/1024}'
统计404的连接

awk '($9 ~/404/)' access.log | awk '{print $9,$7}' | sort
统计http status

cat access.log |awk '{counts[$(9)]+=1}; END {for(code in counts) print code, counts[code]}' 
cat access.log |awk '{print $9}'|sort|uniq -c|sort -rn
每秒并发

watch "awk '{if($9~/200|30|404/)COUNT[$4]++}END{for( a in COUNT) print a,COUNT[a]}' log_file|sort -k 2 -nr|head -n10"
带宽统计

cat apache.log |awk '{if($7~/GET/) count++}END{print "client_request="count}' 
cat apache.log |awk '{BYTE+=$11}END{print "client_kbyte_out="BYTE/1024"KB"}'
找出某天访问次数最多的10个IP

cat /tmp/access.log | grep "20/Mar/2011" |awk '{print $3}'|sort |uniq -c|sort -nr|head
当天ip连接数最高的ip都在干些什么

cat access.log | grep "10.0.21.17" | awk '{print $8}' | sort | uniq -c | sort -nr | head -n 10
小时单位里ip连接数最多的10个时段

awk -vFS="[:]" '{gsub("-.*","",$1);num[$2" "$1]++}END{for(i in num)print i,num[i]}' log_file | sort -n -k 3 -r | head -10
找出访问次数最多的几个分钟

awk '{print $1}' access.log | grep "20/Mar/2011" |cut -c 14-18|sort|uniq -c|sort -nr|head
取5分钟日志

if [ $DATE_MINUTE != $DATE_END_MINUTE ] ;then 
#则判断开始时间戳与结束时间戳是否相等
START_LINE=sed -n "/$DATE_MINUTE/=" $APACHE_LOG|head -n1 
#如果不相等，则取出开始时间戳的行号，与结束时间戳的行号

查看tcp的链接状态

netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn 
   
netstat -n | awk '/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}' 

netstat -n | awk '/^tcp/ {++state[$NF]}; END {for(key in state) print key,"\t",state[key]}' 
   
netstat -n | awk '/^tcp/ {++arr[$NF]};END {for(k in arr) print k,"\t",arr[k]}' 
   
netstat -n |awk '/^tcp/ {print $NF}'|sort|uniq -c|sort -rn 
   
netstat -ant | awk '{print $NF}' | grep -v '[a-z]' | sort | uniq -cnetstat -ant|awk '/ip:80/{split($5,ip,":");++S[ip[1]]}END{for (a in S) print S[a],a}' |sort -n 
   
netstat -ant|awk '/:80/{split($5,ip,":");++S[ip[1]]}END{for (a in S) print S[a],a}' |sort -rn|head -n 10 

awk 'BEGIN{printf ("http_code\tcount_num\n")}{COUNT[$10]++}END{for (a in COUNT) printf a"\t\t"COUNT[a]"\n"}'

查找请求数前20个IP（常用于查找攻来源）：

netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 

netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20

用tcpdump嗅探80端口的访问看看谁最高

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20

查找较多time_wait连接

netstat -n|grep TIME_WAIT|awk '{print $5}'|sort|uniq -c|sort -rn|head -n20

找查较多的SYN连接

netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr | more

根据端口列进程

netstat -ntlp | grep 80 | awk '{print $7}' | cut -d/ -f1

查看了连接数和当前的连接数

netstat -ant | grep $ip:80 | wc -l 
netstat -ant | grep $ip:80 | grep EST | wc -l

查看IP访问次数

netstat -nat|grep ":80"|awk '{print $5}' |awk -F: '{print $1}' | sort| uniq -c|sort -n

Linux命令分析当前的链接状况

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

watch "netstat -n | awk '/^tcp/ {++S[\$NF]} END {for(a in S) print a, S[a]}'" 
# 通过watch可以一直监控
LAST_ACK 5   #关闭一个TCP连接需要从两个方向上分别进行关闭，双方都是通过发送FIN来表示单方向数据的关闭，当通信双方发送了最后一个FIN的时候，发送方此时处于LAST_ACK状态，当发送方收到对方的确认（Fin的Ack确认）后才真正关闭整个TCP连接；
SYN_RECV 30       # 表示正在等待处理的请求数；
ESTABLISHED 1597  # 表示正常数据传输状态； 
FIN_WAIT1 51      # 表示server端主动要求关闭tcp连接； 
FIN_WAIT2 504     # 表示客户端中断连接； 
TIME_WAIT 1057    # 表示处理完毕，等待超时结束的请求数；

文本处理工具

find、grep、xargs、sort、uniq、tr、cut、paste、wc、sed、awk；
1、find 文件查找

查找txt和pdf文件

  find . \( -name "*.txt" -o -name "*.pdf" \) -print
正则方式查找.txt和pdf

  find . -regex  ".*\(\.txt|\.pdf\)$"
-iregex： 忽略大小写的正则

否定参数
查找所有非txt文本

   find . ! -name "*.txt" -print
指定搜索深度
打印出当前目录的文件（深度为1）

  find . -maxdepth 1 -type f  
定制搜索

按类型搜索：

  find . -type d -print  //只列出所有目录
-type f 文件 / l 符号链接

按时间搜索：
-atime 访问时间 (单位是天，分钟单位则是-amin，以下类似）
-mtime 修改时间 （内容被修改）
-ctime 变化时间 （元数据或权限变化）
最近7天被访问过的所有文件：

  find . -atime 7 -type f -print
按大小搜索：
w字 k M G
寻找大于2k的文件

  find . -type f -size +2k
按权限查找：

  find . -type f -perm 644 -print //找具有可执行权限的所有文件
按用户查找：

  find . -type f -user weber -print// 找用户weber所拥有的文件
找到后的后续动作

删除：
删除当前目录下所有的swp文件：

  find . -type f -name "*.swp" -delete
执行动作（强大的exec）

  find . -type f -user root -exec chown weber {} \; //将当前目录下的所有权变更为weber
注：{}是一个特殊的字符串，对于每一个匹配的文件，{}会被替换成相应的文件名；
eg：将找到的文件全都copy到另一个目录：

  find . -type f -mtime +10 -name "*.txt" -exec cp {} OLD \;
结合多个命令
tips: 如果需要后续执行多个命令，可以将多个命令写成一个脚本。然后 -exec 调用时执行脚本即可；

  -exec ./commands.sh {} \;
-print的定界符

默认使用'\n'作为文件的定界符；
-print0 使用'\0'作为文件的定界符，这样就可以搜索包含空格的文件；

2、grep 文本搜索

grep match_patten file // 默认访问匹配行

常用参数
-o 只输出匹配的文本行 VS -v 只输出没有匹配的文本行
-c 统计文件中包含文本的次数

  grep -c "text" filename
-n 打印匹配的行号
-i 搜索时忽略大小写
-l 只打印文件名

在多级目录中对文本递归搜索(程序员搜代码的最爱）：

  grep "class" . -R -n
匹配多个模式
  grep -e "class" -e "vitural" file
grep输出以\0作为结尾符的文件名：（-z）
  grep "test" file* -lZ| xargs -0 rm

3、xargs 命令行参数转换

xargs 能够将输入数据转化为特定命令的命令行参数；这样，可以配合很多命令来组合使用。比如grep，比如find；

将多行输出转化为单行输出
cat file.txt| xargs
\n 是多行文本间的定界符

将单行转化为多行输出
cat single.txt | xargs -n 3
-n：指定每行显示的字段数

xargs参数说明

-d 定义定界符 （默认为空格 多行的定界符为 \n）
-n 指定输出为多行
-I {} 指定替换字符串，这个字符串在xargs扩展时会被替换掉,用于待执行的命令需要多个参数时
eg：

cat file.txt | xargs -I {} ./command.sh -p {} -1
-0：指定\0为输入定界符
eg：统计程序行数

find source_dir/ -type f -name "*.cpp" -print0 |xargs -0 wc -l

4、sort 排序

字段说明：
-n 按数字进行排序 VS -d 按字典序进行排序
-r 逆序排序
-k N 指定按第N列排序
eg：

sort -nrk 1 data.txt
sort -bd data // 忽略像空格之类的前导空白字符

5、uniq 消除重复行

消除重复行
  sort unsort.txt | uniq 
统计各行在文件中出现的次数
  sort unsort.txt | uniq -c
找出重复行
  sort unsort.txt | uniq -d
可指定每行中需要比较的重复内容：-s 开始位置 -w 比较字符数

6、用tr进行转换

通用用法

  echo 12345 | tr '0-9' '9876543210' //加解密转换，替换对应字符
  cat text| tr '\t' ' '  //制表符转空格
tr删除字符

  cat file | tr -d '0-9' // 删除所有数字
-c 求补集

  cat file | tr -c '0-9' //获取文件中所有数字
  cat file | tr -d -c '0-9 \n'  //删除非数字数据
tr压缩字符
tr -s 压缩文本中出现的重复字符；最常用于压缩多余的空格

  cat file | tr -s ' '
字符类
tr中可用各种字符类：
alnum：字母和数字
alpha：字母
digit：数字
space：空白字符
lower：小写
upper：大写
cntrl：控制（非可打印）字符
print：可打印字符
使用方法：tr [:class:] [:class:]

  eg: tr '[:lower:]' '[:upper:]'

7、cut 按列切分文本

截取文件的第2列和第4列：
  cut -f2,4 filename
去文件除第3列的所有列：
  cut -f3 --complement filename
-d 指定定界符：
  cat -f2 -d";" filename
cut 取的范围
N- 第N个字段到结尾
-M 第1个字段为M
N-M N到M个字段
cut 取的单位
-b 以字节为单位
-c 以字符为单位
-f 以字段为单位（使用定界符）
eg:
  cut -c1-5 file //打印第一到5个字符
  cut -c-2 file  //打印前2个字符

8、paste 按列拼接文本

将两个文本按列拼接到一起;

cat file112cat file2
colin
book

paste file1 file21 colin2 book
默认的定界符是制表符，可以用-d指明定界符
paste file1 file2 -d ","
1,colin
2,book

9、wc 统计行和字符的工具

wc -l file // 统计行数
wc -w file // 统计单词数
wc -c file // 统计字符数

10、sed 文本替换利器

首处替换
  seg 's/text/replace_text/' file   //替换每一行的第一处匹配的text
全局替换

   seg 's/text/replace_text/g' file
默认替换后，输出替换后的内容，如果需要直接替换原文件,使用-i：

  seg -i 's/text/repalce_text/g' file
移除空白行：

  sed '/^$/d' file
变量转换
已匹配的字符串通过标记&来引用.

echo this is en example | seg 's/\w+/[&]/g'$>[this]  [is] [en] [example]
子串匹配标记
第一个匹配的括号内容使用标记 \1 来引用

  sed 's/hello\([0-9]\)/\1/'
双引号求值
sed通常用单引号来引用；也可使用双引号，使用双引号后，双引号会对表达式求值：

  sed 's/$var/HLLOE/' 
当使用双引号时，我们可以在sed样式和替换字符串中指定变量；

eg:p=patten
r=replaced
echo "line con a patten" | sed "s/$p/$r/g"$>line con a replaced
其它示例
字符串插入字符：将文本中每行内容（PEKSHA） 转换为 PEK/SHA

  sed 's/^.\{3\}/&\//g' file

11、awk 数据流处理工具

awk脚本结构
awk ' BEGIN{ statements } statements2 END{ statements } '

工作方式
1.执行begin中语句块；
2.从文件或stdin中读入一行，然后执行statements2，重复这个过程，直到文件全部被读取完毕；
3.执行end语句块；

print 打印当前行

使用不带参数的print时，会打印当前行;

  echo -e "line1\nline2" | awk 'BEGIN{print "start"} {print } END{ print "End" }' 
print 以逗号分割时，参数以空格定界;

echo | awk ' {var1 = "v1" ; var2 = "V2"; var3="v3"; \
print var1, var2 , var3; }'$>v1 V2 v3
使用-拼接符的方式（""作为拼接符）;
echo | awk ' {var1 = "v1" ; var2 = "V2"; var3="v3"; \
print var1"-"var2"-"var3; }'$>v1-V2-v3
特殊变量： NR NF $0 $1 $2

NR:表示记录数量，在执行过程中对应当前行号；
NF:表示字段数量，在执行过程总对应当前行的字段数；
$0:这个变量包含执行过程中当前行的文本内容；
$1:第一个字段的文本内容；
$2:第二个字段的文本内容；

echo -e "line1 f2 f3\n line2 \n line 3" | awk '{print NR":"$0"-"$1"-"$2}'
打印每一行的第二和第三个字段：
  awk '{print $2, $3}' file
统计文件的行数：

  awk ' END {print NR}' file
累加每一行的第一个字段：

  echo -e "1\n 2\n 3\n 4\n" | awk 'BEGIN{num = 0 ;
  print "begin";} {sum += $1;} END {print "=="; print sum }'
传递外部变量

var=1000echo | awk '{print vara}' vara=$var #  输入来自stdinawk '{print vara}' vara=$var file # 输入来自文件
用样式对awk处理的行进行过滤

awk 'NR < 5' #行号小于5
awk 'NR==1,NR==4 {print}' file #行号等于1和4的打印出来
awk '/linux/' #包含linux文本的行（可以用正则表达式来指定，超级强大）
awk '!/linux/' #不包含linux文本的行

设置定界符

使用-F来设置定界符（默认为空格）
awk -F: '{print $NF}' /etc/passwd

读取命令输出

使用getline，将外部shell命令的输出读入到变量cmdout中；

echo | awk '{"grep root /etc/passwd" | getline cmdout; print cmdout }' 
在awk中使用循环

for(i=0;i<10;i++){print $i;}
for(i in array){print array[i];}

eg:
以逆序的形式打印行：(tac命令的实现）

seq 9| \
awk '{lifo[NR] = $0; lno=NR} \
END{ for(;lno>-1;lno--){print lifo[lno];}
} '
awk实现head、tail命令

head:

  awk 'NR<=10{print}' filename
tail:

  awk '{buffer[NR%10] = $0;} END{for(i=0;i<11;i++){ \
  print buffer[i %10]} } ' filename
打印指定列

awk方式实现：
  ls -lrt | awk '{print $6}'
cut方式实现
  ls -lrt | cut -f6
打印指定文本区域

确定行号
  seq 100| awk 'NR==4,NR==6{print}'
确定文本
打印处于start_pattern 和end_pattern之间的文本；
  awk '/start_pattern/, /end_pattern/' filename
eg:
seq 100 | awk '/13/,/15/'cat /etc/passwd| awk '/mai.*mail/,/news.*news/'
awk常用内建函数

index(string,search_string):返回search_string在string中出现的位置
sub(regex,replacement_str,string):将正则匹配到的第一处内容替换为replacement_str;
match(regex,string):检查正则表达式是否能够匹配字符串；
length(string)：返回字符串长度

echo | awk '{"grep root /etc/passwd" | getline cmdout; print length(cmdout) }' 
printf 类似c语言中的printf，对输出进行格式化
eg：

seq 10 | awk '{printf "->%4s\n", $1}'

12、迭代文件中的行、单词和字符

1. 迭代文件中的每一行

while 循环法

while read line;doecho $line;done < file.txt改成子shell:cat file.txt | (while read line;do echo $line;done)
awk法：
cat file.txt| awk '{print}'

2.迭代一行中的每一个单词

for word in $line;do echo $word;done
3. 迭代每一个字符

${string:start_pos:num_of_chars}：从字符串中提取一个字符；(bash文本切片）
${#word}:返回变量word的长度

for((i=0;i<${#word};i++))doecho ${word:i:1);done

shell 脚本基础整理

1. 变量和参数传递

2. shell中的算数比较

3. 数组

场景1：服务器磁盘满，一般由大的日志文件导致，需找到大文件并删除。

解决1: find / -size +500M -print0|xargs -0 du -m|sort -nr

find指令为找出500M以上的文件，print0和xargs -0配合使用，用来解决文件名中有空格或特殊字符问题。du -m是查看这些文件的大小，并以m为单位显示。最后sort -nr是按照数字反向排序（大的文件在前）

解决2：上述方法从根路径查找，可能列出一些系统文件。可以在这个查找之前先进行一下过滤。

使用du -m -d 1 /|sort -nr 先看看根路径下，哪个文件夹比较大，并且有嫌疑是导致磁盘满的罪魁祸首。然后再基于那个目录进行find。

场景2: 记得写过一个xxx.c的文件，但是忘了放哪里了

解决： find / -name xxx.c 模糊查找下这个文件