日志审计
最后更新于
访问日志文件access_log记录了所有对Web服务器的访问活动,下面是访问日志access_log中的一条标准记录
192.168.0.1 - - [01/Apr/2020:10:37:19 +0800] "GET / HTTP/1.1" 200 45
日志字段所代表的内容如下:
远程主机IP:表明访问网站的是谁
空白(E-mail):为了避免用户的邮箱被垃圾邮件骚扰,第二项就用“-”取代了
空白(登录名):用于记录浏览者进行身份验证时提供的名字。
请求时间:用方括号包围,而且采用“公用日志格式”或者“标准英文格式”。 时间信息最后的“+0800”表示服务器所处时区位于UTC之后的8小时。
方法+资源+协议:服务器收到的是一个什么样的请求。该项信息的典型格式是“METHOD RESOURCE PROTOCOL”,即“方法 资源 协议”。 METHOD: GET、POST、HEAD、…… RESOURCE: /、index.html、/default/index.php、……(请求的文件) PROTOCOL: HTTP+版本号
状态代码:请求是否成功,或者遇到了什么样的错误。大多数时候,这项值是200,它表示服务器已经成功地响应浏览器的请求,一切正常。
发送字节数:表示发送给客户端的总字节数。它告诉我们传输是否被打断(该数值是否和文件的大小相同)。把日志记录中的这些值加起来就可以得知服务器在一天、一周或者一月内发送了多少数据。
名称
对应命令
当天访问次数最多的IP命令
cut -d- -f 1 log_file|uniq -c | sort -rn | head -20
查看当天有多少个IP访问
awk '{print $1}' log_file|sort|uniq|wc -l
查看某一个页面被访问的次数
grep "/index.php" log_file | wc -l
查看每一个IP访问了多少个页面
awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file
将每个IP访问的页面数进行从小到大排序
awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n
查看IP访问了哪些页面
grep ^192.168.1.1 log_file| awk '{print $1,$7}'
去掉搜索引擎统计当天的页面
awk '{print $12,$1}' log_file | grep ^\"Mozilla | awk '{print $2}' |sort | uniq | wc -l
查看2018年6月21日14时这一个小时内有多少IP访问
awk '{print $4,$1}' log_file | grep 21/Jun/2018:14 | awk '{print $2}'| sort | uniq | wc -l
