解析HTTP访问日志，以获得一秒内响应429的所有请求

Question

这就是你想做的吗？

$ awk -F'[[ ]+' '$9==429{print $4, $1}' file | uniq -c | awk '$1>4{print $2 ":\n" $3}'
28/Jun/2021:06:37:02:
000.00.000.001
28/Jun/2021:06:37:03:
000.00.000.003

如果第一组引号（例如）中的内容"POST /abc/cba/ HTTP/1.1"并不总是像示例输入中那样由 3 个空格分隔的字符串组成，那么只需将其调整为：

$ awk -F'[[ ]+' '{sub(/"[^"]*"/,"")} $6==429{print $4, $1}' file | uniq -c | awk '$1>4{print $2 ":\n" $3}'
28/Jun/2021:06:37:02:
000.00.000.001
28/Jun/2021:06:37:03:
000.00.000.003

如果您出于某种原因更喜欢仅使用 awk 的解决方案：

$ awk -F'[[ ]+' '$9==429{cnt[$4":\n"$1]++} END{for (key in cnt) if (cnt[key]>4) print key}' file
28/Jun/2021:06:37:02:
000.00.000.001
28/Jun/2021:06:37:03:
000.00.000.003

上述所有脚本只需在每个 Unix 机器上的任何 shell 中使用强制 POSIX 工具即可工作。

Answer 1

这就是你想做的吗？

$ awk -F'[[ ]+' '$9==429{print $4, $1}' file | uniq -c | awk '$1>4{print $2 ":\n" $3}'
28/Jun/2021:06:37:02:
000.00.000.001
28/Jun/2021:06:37:03:
000.00.000.003

如果第一组引号（例如）中的内容"POST /abc/cba/ HTTP/1.1"并不总是像示例输入中那样由 3 个空格分隔的字符串组成，那么只需将其调整为：

$ awk -F'[[ ]+' '{sub(/"[^"]*"/,"")} $6==429{print $4, $1}' file | uniq -c | awk '$1>4{print $2 ":\n" $3}'
28/Jun/2021:06:37:02:
000.00.000.001
28/Jun/2021:06:37:03:
000.00.000.003

如果您出于某种原因更喜欢仅使用 awk 的解决方案：

$ awk -F'[[ ]+' '$9==429{cnt[$4":\n"$1]++} END{for (key in cnt) if (cnt[key]>4) print key}' file
28/Jun/2021:06:37:02:
000.00.000.001
28/Jun/2021:06:37:03:
000.00.000.003

上述所有脚本只需在每个 Unix 机器上的任何 shell 中使用强制 POSIX 工具即可工作。

解析HTTP访问日志，以获得一秒内响应429的所有请求

答案1

相关内容