如何使用 syslog 进行其他输出（显示 whois-查询）？

还有另一种解决方案：

awk '{ 
      for (i = 1; i <= NF; i++) 
        if ($i ~ /^SRC=/) 
          print substr($i, 5) 
    }' /var/log/syslog |
  sort -u |
  while read ip; do
    printf ' === %s ===\n' "$ip"
    whois "$ip"
  done

如果只想选择syslog包含字符串的行INVALID STATE，那么上面的代码可以修改如下

awk '/INVALID STATE/ { 
      for (i = 1; i <= NF; i++) 
        if ($i ~ /^SRC=/) 
          print substr($i, 5) 
    }' /var/log/syslog |
  sort -u |
  while read ip; do
    printf ' === %s ===\n' "$ip"
    whois "$ip"
  done

您可以使用sed命令从文件中提取所有 ip 地址，然后对每个匹配项xargs运行whois：

sed 's/^.*SRC=\([0-9.]*\).*$/\1/;t;d' < /var/log/syslog | xargs -n1 whois >> output.txt

该s/^.*SRC=\([0-9.]*\).*$/\1/命令仅用 IP 地址替换包含 SRC=xxxx 的行。

't;d' 命令跳过不匹配的行（从而避免单独的grep命令）。

该xargs命令whois对每个输出的地址调用一次sed。

或者，你可以先找到并记录匹配的行，然后分别提取 IP 地址：

grep -eSRC=[0-9.]* /var/log/syslog | tee grep-output.txt | sed 's/^.*SRC=\([0-9.]*\).*$/\1/' | xargs -n1 whois >> whois-output.txt`

也许下面的代码对你来说是一个合适的起点。它可能不是最佳解决方案，但它能完成它的工作。

它由一个 for 循环组成，循环遍历 $() 内命令的所有输出行。在循环的每次迭代中，一行输出存储在变量 IP 中。然后，在循环中，使用 $IP（变量 IP 的内容）作为参数调用 whois 命令。

括号 $() 包含两个 grep 命令 - 第一个命令搜索前面写有 SRC= 的 IP 地址，第二个命令获取第一个命令的输出（通过管道 |）并只获取 IP 地址。grep 的 -o 标志使其仅输出匹配的行部分而不是完整的行。

正则表达式还不够优雅。它搜索三组，每组由一到三个数字和一个点组成，后面跟着一到三个数字。为了使脚本可读性，我选择使用 -E 扩展正则表达式。“普通” grep 命令要求在每个圆括号和花括号前面都加一个反斜杠...

for IP in \
 $(grep  -E "SRC=([0-9]{1,3}\.){3}[[0-9]{1,3}" -o  /var/log/syslog  | \
 grep -E "([0-9]{1,3}\.){3}[[0-9]{1,3}" -o);
    do whois $IP;
done

添加选项 - 如果弹出“无效状态” - 那么可以这样做吗？：

awk '{

    for (i = 1; i <= NF; i++)

      if ($i ~ /^SRC=/)

         print substr($i, 5)

   }' /var/log/syslog | sort -u | while read ip; 

do

   printf ' INVALID STATE ' && printf ' === %s ===\n' "$ip"

   whois "$ip"

 done