1、

命令如下

批量过滤日志文件,grep -v是要排除10网段开头的IP地址

sort会自动按ip排序

uniq -c去重并计数

sort -n 按数值从小到大排序

[root@linux-node1 /work]# awk '{print $1}' localhost_access_log.2018-07-0*.txt |grep -v ^10*|sort|uniq -c|sort -n

  

比如有很多日志

awk命令过滤tomcat的访日日志中IP地址-LMLPHP

每个日志都有这种IP地址

awk命令过滤tomcat的访日日志中IP地址-LMLPHP

最终结果如下

如果怀疑被攻击可以把IP地址明显多的给封掉。

awk命令过滤tomcat的访日日志中IP地址-LMLPHP

搜索可疑的IP地址段

awk命令过滤tomcat的访日日志中IP地址-LMLPHP

05-11 17:21