Как анализировать access лог по IP?

Question

[Horosh294]

Хочу проанализировать сервер на наличие атаки. Есть access лог сайта лежит в /var/www/httpd-logs/mysite.access.log .
Мне нужна команда, чтобы получить полный список IP которые заходили чаще всего в этом логе, с указанием сколько раз они заходили.
Подскажите команду для консоли

Comments

[Дмитрий]

Если хорошо дружить с регулярками то это можно с консоли легко сделать, но если не знаешь, то написать парсер на любом яп который знаешь, формат лога прост, один реквест одна строка, ип вроде как в самом начале

Answer 1

[Дмитрий]

[dmitryg@demo ~]$ sudo cat /var/log/nginx/default_access.log | awk {'print $1'} | uniq -c | sort -nr
     14 51.81.242.166
      2 45.148.10.50
      2 40.112.197.203
      1 80.82.77.192
      1 45.148.10.50
      1 45.148.10.50
      1 204.93.154.215
      1 182.123.202.236
      1 178.73.215.171
      1 162.221.192.26

Answer 2

[Vitaly Karasik]

Для ленивых (как я) -
- https://goaccess.io/
- lnav.org

Answer 3

[AUser0]

Конгениально! "Хочу отремонтировать автомобиль, что именно сломалось - не скажу".
Какая конкретно программа пишет логи, хотя-бы одну строку из него? Не?

Наобум можно отфильтровать командой:

cut -f1 -d' ' /var/www/httpd-logs/mysite.access.log |sort |uniq -c |sort -nr >num.txt

И смотрите файл num.txt. Если IP там не окажется - меняйте цифру в аргументе -f1 на -f2, и т.д.