28：awk高级应用、综合案例、总结和答疑

NSD SHELL DAY06

1. 案例1&＃xff1a;awk流程控制
2. 案例2&＃xff1a;awk扩展应用
3. 案例3&＃xff1a;编写监控脚本
4. 案例4&＃xff1a;编写安全检测脚本

1 案例1&＃xff1a;awk流程控制

1.1 问题

本案例要求了解awk的流程控制操作&＃xff0c;可自行设置awk语句来有验证以下操作&＃xff1a;

• if分支结构&＃xff08;单分支、双分支、多分支&＃xff09;
• 练习awk数组的使用

1.2 步骤

实现此案例需要按照如下步骤进行。

步骤一&＃xff1a;awk过滤中的if分支结构

1&＃xff09;单分支

统计/etc/passwd文件中UID小于或等于1000的用户个数&＃xff1a;

[root&＃64;svr5 ~]# awk -F: &＃39;{if($3<&＃61;1000){i&＃43;&＃43;}}END{print i}&＃39; /etc/passwd
39

统计/etc/passwd文件中UID大于1000的用户个数&＃xff1a;

[root&＃64;svr5 ~]# awk -F: &＃39;{if($3>1000){i&＃43;&＃43;}}END{print i}&＃39; /etc/passwd
8

统计/etc/passwd文件中登录Shell是“/bin/bash”的用户个数&＃xff1a;

[root&＃64;svr5 ~]# awk -F: &＃39;{if($7~/bash$/){i&＃43;&＃43;}}END{print i}&＃39; /etc/passwd
29

2&＃xff09;双分支

分别统计/etc/passwd文件中UID小于或等于1000、UID大于1000的用户个数&＃xff1a;

[root&＃64;svr5 ~]# awk -F: &＃39;{if($3<&＃61;1000){i&＃43;&＃43;}else{j&＃43;&＃43;}}END{print i,j}&＃39; /etc/passwd
39 8

分别统计/etc/passwd文件中登录Shell是“/bin/bash”、 登录Shell不是“/bin/bash”的用户个数&＃xff1a;

[root&＃64;svr5 ~]# awk -F: &＃39;{if($7~/bash$/){i&＃43;&＃43;}else{j&＃43;&＃43;}} END{print i,j}&＃39; /etc/passwd
29 38

步骤二&＃xff1a;awk数组

1&＃xff09;数组的语法格式

数组是一个可以存储多个值的变量&＃xff0c;具体使用的格式如下&＃xff1a;

定义数组的格式&＃xff1a;数组名[下标]&＃61;元素值

调用数组的格式&＃xff1a;数组名[下标]

遍历数组的用法&＃xff1a;for(变量 in 数组名){print 数组名[变量]}。

[root&＃64;svr5 ~]# awk &＃39;BEGIN{a[0]&＃61;11;a[1]&＃61;88;print a[1],a[0]}&＃39;
88 11
[root&＃64;svr5 ~]# awk &＃39;BEGIN{a&＃43;&＃43;;print a}&＃39;
1
[root&＃64;svr5 ~]# awk &＃39;BEGIN{a0&＃43;&＃43;;print a0}&＃39;
1
[root&＃64;svr5 ~]# awk &＃39;BEGIN{a[0]&＃43;&＃43;;print a[0]}&＃39;
1
[root&＃64;svr5 ~]# awk &＃39;BEGIN{a[0]&＃61;0;a[1]&＃61;11;a[2]&＃61;22; for(i in a){print i,a[i]}}&＃39;
0 0
1 11
2 22

注意&＃xff0c;awk数组的下标除了可以使用数字&＃xff0c;也可以使用字符串&＃xff0c;字符串需要使用双引号&＃xff1a;

[root&＃64;svr5 ~]# awk &＃39;BEGIN{a["hehe"]&＃61;11;print a["hehe"]}&＃39;
11

2 案例2&＃xff1a;awk扩展应用

2.1 问题

本案例要求使用awk工具完成下列两个任务&＃xff1a;

• 分析Web日志的访问量排名&＃xff0c;要求获得客户机的地址、访问次数&＃xff0c;并且按照访问次数排名

2.2 方案

1&＃xff09;awk统计Web访问排名

在分析Web日志文件时&＃xff0c;每条访问记录的第一列就是客户机的IP地址&＃xff0c;其中会有很多重复的IP地址。因此只用awk提取出这一列是不够的&＃xff0c;还需要统计重复记录的数量并且进行排序。

通过awk提取信息时&＃xff0c;利用IP地址作为数组下标&＃xff0c;每遇到一个重复值就将此数组元素递增1&＃xff0c;最终就获得了这个IP地址出现的次数。

针对文本排序输出可以采用sort命令&＃xff0c;相关的常见选项为-r、-n、-k。其中-n表示按数字顺序升序排列&＃xff0c;而-r表示反序&＃xff0c;-k可以指定按第几个字段来排序。

2.3 步骤

实现此案例需要按照如下步骤进行。

步骤一&＃xff1a;统计Web访问量排名

分步测试、验证效果如下所述。

1&＃xff09;提取IP地址及访问量

[root&＃64;svr5 ~]# awk &＃39;{ip[$1]&＃43;&＃43;} \
> END{for(i in ip) {print ip[i],i }}&＃39; /var/log/httpd/access_log
4 127.0.0.1
17 192.168.4.5
13 192.168.4.110
.. ..

2&＃xff09;对第1&＃xff09;步的结果根据访问量排名

[root&＃64;svr5 ~]# awk &＃39;{ip[$1]&＃43;&＃43;} END{for(i in ip) {print i,ip[i]}}&＃39; /var/log/httpd/access_log | sort -nr
17 192.168.4.5
13 192.168.4.110
4 127.0.0.1
.. ..