服务器评测
一、awk介绍:
AWK是一种优良的文本处理工具。它不仅是Linux中也是任何环境中现有的功能最强大的数据处理引擎之一。最简单的说,AWK是一种用于处理文本的编程语言工具。这种编程及数据操作语言(其名称得自于它的创始人Alfred Aho 、Peter Weinberger 和Brian Kernighan 姓氏的首个字母)的最大功能取决于一个人所拥有的知识。AWK 提供了极其强大的功能:可以进行样式装入、流控制、数学运算符、进程控制语句甚至于内置的变量和函数。它具备了一个完整的语言所应具有的几乎所有精美特性。实际上 AWK 的确拥有自己的语言:AWK 程序设计语言, 三位创建者已将它正式定义为“样式扫描和处理语言”。它允许您创建简短的程序,这些程序读取输入文件、为数据排序、处理数据、对输入执行计算以及生成报表,还有无数其他的功能。
相关阅读:
sed与awk常用功能 http://www.linuxidc.com/Linux/2013-06/86099.htm
Linux下shell编程常用grep\awk\sed语法 http://www.linuxidc.com/Linux/2013-07/87047.htm
Linux下Shell编程——awk编程 http://www.linuxidc.com/Linux/2013-06/85527.htm
文本处理工具awk详解 http://www.linuxidc.com/Linux/2013-05/84248.htm
Linux awk命令使用详解 http://www.linuxidc.com/Linux/2012-12/77082.htm
awk模式
1.BEGIN模式:让用户指定在第一条输入记录被处理之前所发生的动作,通常可在这里设置全局变量
2.END模式:让用户在最后一条输入记录被读取之后发生的动作
3.正则表达式:使用通配符的扩展集
4.关系表达式:可以用关系运算符进行操作,可以是字符
awk的输出print和printf
print的使用格式:print item1,item2,…
使用格式介绍:
1.各项目之间使用逗号隔开,而输出时则以空白字符分隔
2.输出的item可以为字符串或数值、当前当前记录的字段(如$1)、变量或awk的表达式;数值会先转换为字符串,而后再输出;
3.print命令后面的item可以省略,此时其功能相当于print $0, 因此,如果想输出空白行,则需要使用print “”;
[root@localhost ~]# awk ‘BEGIN { print “line one\nline two\nline three”}’
line one
line two
line three
[root@localhost ~]# awk -F: ‘{print $1,$3}’ /etc/passwd
root 0
bin 1
daemon 2
adm 3
lp 4
printf的格式使用:prinf format,item1,item2,…
格式说明:
1、其与print命令的最大不同是,printf需要指定format;
2、format用于指定后面的每个item的输出格式;
3、printf语句不会自动打印换行符;\n
format格式的指示符都以%开头,后跟一个字符;如下:
%c: 显示字符的ASCII码;
%d, %i:十进制整数;
%e, %E:科学计数法显示数值;
%f: 显示浮点数;
%g, %G: 以科学计数法的格式或浮点数的格式显示数值;
%s: 显示字符串;
%u: 无符号整数;
%%: 显示%自身;
修饰符:
N: 显示宽度;
-: 左对齐;
+:显示数值符号;
1234 [root@localhost ~]# awk -F: ‘{printf “%-15s %i\n”,$1,$3}’ /etc/passwd
root 0
bin 1
daemon 2aw
二、awk的变量类型
用户自定义变量
gawk允许用户自定义自己的变量以便在程序代码中使用,变量名命名规则与大多数编程语言相同,只能使用字母、数字和下划线,且不能以数字开头。gawk变量名称区分字符大小写。
在脚本中赋值变量
在gawk中给变量赋值使用赋值语句进行,例如:
awk’BEGIN{var=”variable testing”;print var}’
在命令行中使用赋值变量
gawk命令也可以在“脚本”外为变量赋值,并在脚本中进行引用。例如,上述的例子还可以改写为:
awk -vvar=”variable testing” ‘BEGIN{print var}’
内置变量表
|
属性 |
说明 |
|
$0 |
当前记录(作为单个变量) |
|
$1~$n |
当前记录的第n个字段,字段间由FS分隔 |
|
FS |
输入字段分隔符 默认是空格 |
|
NF |
当前记录中的字段个数,就是有多少列 |
|
NR |
已经读出的记录数,就是行号,从1开始 |
|
RS |
输入的记录分隔符默 认为换行符 |
|
OFS |
输出字段分隔符 默认也是空格 |
|
ORS |
输出的记录分隔符,默认为换行符 |
|
ARGC |
命令行参数个数 |
|
ARGV |
命令行参数数组 |
|
FILENAME |
当前输入文件的名字 |
|
IGNORECASE |
如果为真,则进行忽略大小写的匹配 |
|
ARGIND |
当前被处理文件的ARGV标志符 |
|
CONVFMT |
数字转换格式 %.6g |
|
ENVIRON |
UNIX环境变量 |
|
ERRNO |
UNIX系统错误消息 |
|
FIELDWIDTHS |
输入字段宽度的空白分隔字符串 |
|
FNR |
当前记录数 |
|
OFMT |
数字的输出格式 %.6g |
|
RSTART |
被匹配函数匹配的字符串首 |
|
RLENGTH |
被匹配函数匹配的字符串长度 |
|
SUBSEP |
\034 |
输出重定向
print items > output-file
print items >> output-file
print items | command
特殊文件描述符:
/dev/stdin:标准输入
/dev/sdtout: 标准输出
/dev/stderr: 错误输出
/dev/fd/N: 某特定文件描述符,如/dev/stdin就相当于/dev/fd/0;
例子:
# awk -F: ‘{printf “%-15s %i\n”,$1,$3 > “/dev/stderr” }’ /etc/passwd
三、awk的操作符
算术操作符:
-x: 负值
+x: 转换为数值;
x^y: x的y次幂
x**y: 次方
x*y: 乘法
x/y:除法
x+y:加法
x-y:减法
x%y:取余
赋值操作符:
=
+=
-=
*=
/=
%=
^=
**=
++
—
需要注意的是,如果某模式为=号,此时使用/=/可能会有语法错误,应以/[=]/替代;
布尔值
awk中,任何非0值或非空字符串都为真,反之就为假;
比较操作符
x < y True if x is less than y.
x <= y True if x is less than or equal to y.
x > y True if x is greater than y.
x >= y True if x is greater than or equal to y.
x == y True if x is equal to y.
x != y True if x is not equal to y.
x ~ y True if the string x matches the regexp denoted by y.
x !~ y True if the string x does not match the regexp denoted by y.
subscript in array True if the array array has an element with the subscript subscript.
表达式间的逻辑关系符
&&
||
条件表达式:
selector?if-true-exp:if-false-exp
if selector; then
if-true-exp
else
if-false-exp
fi
a=3
b=4
a>b?a is max:b ia max
函数调用:
function_name (para1,para2)
四、awk的控制语句:
if-else
语法:if (condition) {then-body} else {[ else-body ]}
# awk ‘{if ($3==0) {print $1, “Adminitrator”;} else { print $1,”Common User”}}’ /etc/passwd
例子:
awk -F: ‘{if ($1==”root”) print $1, “Admin”; else print $1, “Common User”}’ /etc/passwd
awk -F: ‘{if ($1==”root”) printf “%-15s: %s\n”, $1,”Admin”; else printf “%-15s: %s\n”, $1, “Common User”}’ /etc/passwd
awk -F: -v sum=0 ‘{if ($3>=500) sum++}END{print sum}’ /etc/passwd
while
语法: while (condition){statement1; statment2; …}
awk -F: ‘{i=1;while (i<=3) {print $i;i++}}’ /etc/passwd
awk -F: ‘{i=1;while (i<=NF) { if (length($i)>=4) {print $i}; i++ }}’ /etc/passwd
awk ‘{i=1;while (i<=NF) {if ($i>=100) print $i; i++}}’ hello.txt
hello.txt文件的内容为一堆随机数。
do-while 至少执行一次循环体,不管条件满足与否
语法: do {statement1, statement2, …} while (condition)
awk -F: ‘{i=1;do {print $i;i++}while(i<=3)}’ /etc/passwd
awk -F: ‘{i=4;do {print $i;i–}while(i>4)}’ /etc/passwd
for
语法: for ( variable assignment; condition; iteration process) { statement1, statement2, …}
awk -F: ‘{for(i=1;i<=3;i++) print $i}’ /etc/passwd
awk -F: ‘{for(i=1;i<=NF;i++) { if (length($i)>=4) {print $i}}}’ /etc/passwd
for循环还可以用来遍历数组元素:
语法: for (i in array) {statement1, statement2, …}
awk -F: ‘$NF!~/^$/{BASH[$NF]++}END{for(A in BASH){printf “%15s:%i\n”,A,BASH[A]}}’ /etc/passwd
BASH[/bin/bash]++
BASH[/sbin/nologin]
BASH[/bin/bash]=1
BASH[/sbin/nologin]=2
BASH[/bin/sync]=1
/bin/bash: 1
/sbin/nologin: 2
/bin/sync: 1
case
语法:switch (expression) { case VALUE or /REGEXP/: statement1, statement2,… default: statement1, …}
break 和 continue
常用于循环或case语句中
next
提前结束对本行文本的处理,并接着处理下一行;例如,下面的命令将显示其ID号为奇数的用户:
# awk -F: ‘{if($3%2==0) next;print $1,$3}’ /etc/passwd
五、awk中使用数组
数组
array[index-expression]
index-expression可以使用任意字符串;需要注意的是,如果某数据组元素事先不存在,那么在引用其时,awk会自动创建此元素并初始化为空串;因此,要判断某数据组中是否存在某元素,需要使用index in array的方式。
要遍历数组中的每一个元素,需要使用如下的特殊结构:
for (var in array) { statement1, … }
其中,var用于引用数组下标,而不是元素值;
例子:
netstat -ant | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’
每出现一被/^tcp/模式匹配到的行,数组S[$NF]就加1,NF为当前匹配到的行的最后一个字段,此处用其值做为数组S的元素索引;
awk ‘{counts[$1]++}; END {for(url in counts) print counts[url], url}’ /var/log/httpd/access_log
用法与上一个例子相同,用于统计某日志文件中IP地的访问量
删除数组变量
从关系数组中删除数组索引需要使用delete命令。使用格式为:
delete array[index]
六、awk的内置函数
split(string, array [, fieldsep [, seps ] ])
功能:将string表示的字符串以fieldsep为分隔符进行分隔,并将分隔后的结果保存至array为名的数组中;数组下标为从1开始的序列;
# netstat -ant | awk ‘/:80\>/{split($5,clients,”:”);IP[clients[1]]++}END{for(i in IP){print IP[i],i}}’ | sort -rn | head -50
# netstat -tan | awk ‘/:80\>/{split($5,clients,”:”);ip[clients[4]]++}END{for(a in ip) print ip[a],a}’ | sort -rn | head -50
# df -lh | awk ‘!/^File/{split($5,percent,”%”);if(percent[1]>=20){print $1}}’
length([string])
功能:返回string字符串中字符的个数;
substr(string, start [, length])
功能:取string字符串中的子串,从start开始,取length个;start从1开始计数;
system(command)
功能:执行系统command并将结果返回至awk命令
systime()
功能:取系统当前时间
tolower(s)
功能:将s中的所有字母转为小写
toupper(s)
功能:将s中的所有字母转为大写
用户自定义函数
自定义函数使用function关键字。格式如下:
function F_NAME([variable])
{
statements
}
函数还可以使用return语句返回值,格式为“return value”。
Linux Web服务器网站故障分析常用的命令
系统连接状态篇:
1.查看TCP连接状态
netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn
netstat -n | awk ‘/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}’ 或
netstat -n | awk ‘/^tcp/ {++state[$NF]}; END {for(key in state) print key,”\t”,state[key]}’
netstat -n | awk ‘/^tcp/ {++arr[$NF]};END {for(k in arr) print k,”t”,arr[k]}’
netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn
netstat -ant | awk ‘{print $NF}’ | grep -v ‘[a-z]‘ | sort | uniq -c
2.查找请求数请20个IP(常用于查找攻来源):
netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F: ‘{print $1}’|sort|uniq -c|sort -nr|head -n20
netstat -ant |awk ‘/:80/{split($5,ip,”:”);++A[ip[1]]}END{for(i in A) print A[i],i}’ |sort -rn|head -n20
3.用tcpdump嗅探80端口的访问看看谁最高
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F”.” ‘{print $1″.”$2″.”$3″.”$4}’ | sort | uniq -c | sort -nr |head -20
4.查找较多time_wait连接
netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20
5.找查较多的SYN连接
netstat -an | grep SYN | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | sort | uniq -c | sort -nr | more
6.根据端口列进程
netstat -ntlp | grep 80 | awk ‘{print $7}’ | cut -d/ -f1
网站日志分析篇1(Apache):
1.获得访问前10位的ip地址
cat access.log|awk ‘{print $1}’|sort|uniq -c|sort -nr|head -10
cat access.log|awk ‘{counts[$(11)]+=1}; END {for(url in counts) print counts[url], url}’
2.访问次数最多的文件或页面,取前20
cat access.log|awk ‘{print $11}’|sort|uniq -c|sort -nr|head -20
3.列出传输最大的几个exe文件(分析下载站的时候常用)
cat access.log |awk ‘($7~/.exe/){print $10 ” ” $1 ” ” $4 ” ” $7}’|sort -nr|head -20
4.列出输出大于200000byte(约200kb)的exe文件以及对应文件发生次数
cat access.log |awk ‘($10 > 200000 && $7~/.exe/){print $7}’|sort -n|uniq -c|sort -nr|head -100
5.如果日志最后一列记录的是页面文件传输时间,则有列出到客户端最耗时的页面
cat access.log |awk ‘($7~/.php/){print $NF ” ” $1 ” ” $4 ” ” $7}’|sort -nr|head -100
6.列出最最耗时的页面(超过60秒的)的以及对应页面发生次数
cat access.log |awk ‘($NF > 60 && $7~/.php/){print $7}’|sort -n|uniq -c|sort -nr|head -100
7.列出传输时间超过 30 秒的文件
cat access.log |awk ‘($NF > 30){print $7}’|sort -n|uniq -c|sort -nr|head -20
8.统计网站流量(G)
cat access.log |awk ‘{sum+=$10} END {print sum/1024/1024/1024}’
9.统计404的连接
awk ‘($9 ~/404/)’ access.log | awk ‘{print $9,$7}’ | sort
10. 统计http status
cat access.log |awk ‘{counts[$(9)]+=1}; END {for(code in counts) print code, counts[code]}’
cat access.log |awk ‘{print $9}’|sort|uniq -c|sort -rn
10.蜘蛛分析,查看是哪些蜘蛛在抓取内容。
/usr/sbin/tcpdump -i eth0 -l -s 0 -w – dst port 80 | strings | grep -i user-agent | grep -i -E ‘bot|crawler|slurp|spider’
网站日分析2(Squid篇)按域统计流量
zcat squid_access.log.tar.gz| awk ‘{print $10,$7}’ |awk ‘BEGIN{FS=”[ /]”}{trfc[$4]+=$1}END{for(domain in trfc){printf “%st%dn”,domain,trfc[domain]}}’
数据库篇
1.查看数据库执行的sql
/usr/sbin/tcpdump -i eth0 -s 0 -l -w – dst port 3306 | strings | egrep -i ‘SELECT|UPDATE|DELETE|INSERT|SET|COMMIT|ROLLBACK|CREATE|DROP|ALTER|CALL’
系统Debug分析篇
1.调试命令
strace -p pid
2.跟踪指定进程的PID
gdb -p pid
