apache log analysis script ( sed, awk ) 아파치 Access Log 분석 스크립트

아파치 Access Log 분석 스크립트

목표


  • 날짜 시각  URI 횟수
    • 20160116 00 /MainAction.do?ActionName=RefreshSesseion 101
  • 날짜 시각 IP 횟수
    • 20160116 00 10.10.10.10 5

필요 데이터 이해(공백 기준 구분)

아래는 아파치의 기본 access.log 이다.

10.10.10.10 - - [05/Jan/2016:00:00:31 +0900] "GET /MainAction.do?ActionName=RefreshSesseion&fake=9779425681 HTTP/1. 200 13

다음은 AWK를 통하여 잘라내고자 하는 데이터이다.($1: 공백에 의해 구분되는 첫번째 컬럼)

$1 IP 10.10.10.10 
$4 시각 [16/Jan/2016:00:00:31
$7 URI /MainAction.do?ActionName=RefreshSesseion&fake=9779425681
$9 응답코드 200
$10 응답데이터바이트

중간 목표 포맷
10.10.10.10 16/Jan/2016:00 /MainAction.do?ActionName=RefreshSesseion 200

수행절차

  1. 데이터 필터링
    1. 불필요한 데이터를 미리 제거한다.여기서는 테스트,모니터링용 주소 제외
    2. 사용자 호출 중심으로 필터링한다 여기서는 .do ( 각종 img등 제외)
  2. 주소 단순화 
    1. 세부 파라메터는 제거한다.(.do?action=abc&data=b ==> .do?action=abc )
  3. 데이터 단순화 및 저장
    1. IP, 날짜시각, URI, 응답코드
  4. 날짜 시각 URI 횟수
    1. 저장한 파일 읽기
    2. AWK 수행
      1. 배열구분자 지정
      2. 각 줄에 대하여 count[날짜시각,주소]++
      3. 출력
        1. 연월일 시각 URI 횟수

해설

파이프 및 regexp를 사용한 필터링, awk를 사용한 테이블 구성

  1. ".do?" 만 출력하기 ( grep "\.do\?")
  2. testapp가 있는 줄은 제외하기(grep -v testapp)
  3. &로 시작해서 공백을 만날때까지를 null스트링으로 치환하기.
  4. 새로운 포맷으로저장
    1. 10.10.10.10 16/Jan/2016:00 /MainAction.do?ActionName=RefreshSesseion 200
    2. 첫번째 컬럼, 네번째컬럼의 두번째글자부터("["제외), 7번째컬럼(URI), 9번째컬럼 
  5. 생략(아래 awk 참조)
  6. Jan을01로, Feb를 02로 Mar를 03으로 치환하기
    1. sed -e 's/Jan/01/g' -e 's/Feb/02/g' -e 's/Mar/03/g
    2. 16/Jan/2016:00 /MainAction.do?ActionName=RefreshSesseion 20
      ==>
      16/01/2016:00 /MainAction.do?ActionName=RefreshSesseion 20
  7. 날짜필드를 구분하여 dt 배열에, 연:시를 구분하여 yh에, 분리한 것을 출력하기.
    1. awk '{split($1, dt, "/"); split(dt[3], yh, ":"); print yh[1] dt[2] dt[1],yh[2],$2,$3}'



grep ( regexp를 이용한 검색 )

grep "\.do\?" | grep -v testapp

.do?가 있는 줄을 찾아 출력하고 , testapp 가 있는 줄을 제외하라

"패턴"이 있는 줄을 찾아 출력하라
cat data.txt | grep 패턴
grep 패턴 data.txt
grep "패턴" data.txt

    sed ( regexp를 이용한 내용편집 )

    cat access.log | sed 's/&[^ ]*//g' 

    sed 's/A/B/g'
    s/A/B/g : A패턴을 찾아서 B로 바꾸는데 보이는대로 모두 바꿔라(g)
    &로 시작하되 공백이 아닌([^ ]) 글자들(*) ==> &sdfasdf
    [A-Za-z0-9 ] ==> 대문자,소문자,숫자,공백
    * ==> 앞의 글자가 0개 이상 ( + 는 1개 이상 )
    // ==> 바꿀 글자가 없음 ==> s/A//g ==> A패턴을 찾아서 지워라

    응용
    Jan을 01로, Feb를 02로 변경하라.(2개이상의 규칙적용하기)
    cat report1.txt | sed -e 's/Jan/01/g' -e 's/Feb/02/g' -e 's/Mar/03/g'
    system.config 파일에서 postgress를 모두 sqlite로 "변경하여 다시 저장하라."
    sed -i 's/postgress/sqlite/g' system.config

    awk ( regexp를 이용한 검색, 텍스트의 테이블화 )

    10.10.10.10 - - [05/Jan/2016:00:00:31 +0900] "GET /MainAction.do?ActionName=RefreshSesseion&fake=9779425681 HTTP/1. 200 13

    cat access.log | awk '{ print $1, substr($4,2), $7, $9 }'
    10.10.10.10 16/Jan/2016:00 /MainAction.do?ActionName=RefreshSesseion 200
    패턴1
    awk '{행마다수행하는내용}'
    awk 'BEGIN{초기화내용}{행마다수행하는내용}END{모든행을 처리하고 마지막에 하는내용}'

    awk -f awkfile

    awkfile

    BEGIN{
      초기화내용
    }
    [condition 1]{
      행마다수행하는내용
    }
    [condition 2]{
      행마다수행하는내용
    }
    END{
      모든행을 처리하고 마지막에 하는내용
    }

    아래는 2차원배열의 처리 방법에 대한 예시이다.
    for(i in count){for(j in count[i]){printf("%s ", count[i][j]);}} 가 수행되지 않아 아래와 같이 함.

    BEGIN{
        SUBSEP="@" # 배열간 구분자 다시 지정 ( 나중에 @를 공백으로 치환하기 위해 )
    }{
        count[substr($2,1,14),$3]+=1; # count[일월년,URI] 배열에 출현횟수저장
    }END{
        for(i in count){                # count 배열의 일월년@URI 을 i 라는 키로 해서 for loop
            split(count[i], row);    # 각 줄(일월년)의 컬럼을 잘라서 row 배열로 만들기
            for(j in row)                # row 배열에 대하여
                {print i, row[j] }       # 일월년@URI 갯수 형태로 출력
        }
    }


    16/01/2016:00 /MainAction.do?ActionName=RefreshSesseion 20

    awk '{split($1, dt, "/"); split(dt[3], yh, ":"); print yh[1] dt[2] dt[1],yh[2],$2,$3}'

    {
      split($1, dt, "/");     # $1필드를 "/"를 구분자로 쪼개어 dt 배열에 넣기
      split(dt[3], yh, ":"); # dt[3] 필드를 ":" 로 구분하여 yh배열에 넣기
      #이제 연 월 일 시각이 쪼개어졌으므로 순서를 변경하여 출력한다
      print yh[1] dt[2] dt[1], yh[2], $2, $3 # 연월일 시 URI 갯수
    }

    원문

    #기초작업
    cat access*.log | grep "\.do\?" | grep -v testapp \
    | grep -v "\/monitoring" | grep -v balancer-manager \
    | sed 's/&[^ ]*//g' \
    | awk '{ print $1, substr($4,2), $7, $9 }' > report1.txt
    sed -e 's/[\/]/ /g' -e 's/:/ /g' | awk '{print $4, $3=="Jan"?"01":($3=="Feb"?"02":"03"),$2,$5,$6,$1,$8}'

     # 날짜시각 함수 횟수
    cat report1.txt | awk '\
    BEGIN{SUBSEP="@"}\
        {count[substr($2,1,14),$3]+=1;}\
    END{\
        for(i in count){\
            split(count[i], row);\
            for(j in row)\
                {print i, row[j] }\
        }\
    }' | sed "s/@/ /g" \
    |sed -e 's/Jan/01/g' -e 's/Feb/02/g' -e 's/Mar/03/g' \
    |awk '{split($1, dt, "/"); split(dt[3], yh, ":"); print yh[1] dt[2] dt[1],yh[2],$2,$3}'\
    | sort > report2.txt

     # 날짜 ip 횟수
    cat report1.txt | awk '\
    BEGIN{SUBSEP="@"}\
        {count[substr($2,1,14),$1]+=1;}\
    END{\
        for(i in count){\
            split(count[i], row);\
            for(j in row)\
                {print i, row[j] }\
        }\
    }' | sed "s/@/ /g" \
    |sed -e 's/Jan/01/g' -e 's/Feb/02/g' -e 's/Mar/03/g' \
    |awk '{split($1, dt, "/"); split(dt[3], yh, ":"); print yh[1] dt[2] dt[1],yh[2],$2,$3}'\
    | sort > report3.txt

    참고 

    http://sunshowers.tistory.com/32

    댓글

    댓글 쓰기

    이 블로그의 인기 게시물

    4,5,6 띠 저항의 색띠를 읽는 법(띠저항 값)

    이미지
    4색 : 2번띠까지 값, 3번띠 승수, 4번띠 오차 5색 : 3번띠까지 값, 4번띠 승수, 5번띠 오차 6색 : 3번띠까지 값, 4번띠 승수, 5번띠 오차, 6번띠 온도계수 발췌(http://blog.naver.com/PostView.nhn?blogId=fribot&logNo=60195135963) 표준  EIA  색 코드 표. EIA-RS-279에 의함. 색 첫 번째 띠 두 번째 띠 세 번째 띠 (단위) 4번째 띠 (오차) 열계수 검정 0 0 ×10 0 갈색 1 1 ×10 1 ±1% (F) 100 ppm 빨강색 2 2 ×10 2 ±2% (G) 50 ppm 주황색 3 3 ×10 3 15 ppm 노랑색 4 4 ×10 4 25 ppm 초록색 5 5 ×10 5 ±0.5% (D) 파랑색 6 6 ×10 6 ±0.25% (C) 보라색 7 7 ×10 7 ±0.1% (B) 회색 8 8 ×10 8 ±0.05% (A) 흰색 9 9 ×10 9 금색 ×0.1 ±5% (J) 은색 ×0.01 ±10% (K) 없음 ±20% (M) 앞뒤를 구별하기 위하여, 오차는 금색, 은색, 무색으로 나타내는 경우가 많다. 정밀 저항 색 첫 번째 띠 두 번째 띠 세 번째 띠 4번째 띠 (단위) 5번째 띠 (오차) 검정 0 0 0 ×1 갈색 1 1 1 ×10 1 ±1% (F) 빨강색 2 2 2 ×10 2 ±2% (G) 주황색 3 3 3 ×10 3 노랑색 4 4 4 ×10 4 초록색 5 5 5 ×10 5 ±0.5% (D) 파랑색 6 6 6 ×10 6 ±0.25% (C) 보라색 7 7 7 ×10 7 ±0.1% (B) 회색 8 8 8 ×10 8 ±0.05% (A) 흰색 9 9 9 ×10 9 금색 ×0.1 ±5% (J) 은색 ×0.01 ±10% (K) 없음 ±20% (M)
    자세한 내용 보기

    remove bluebirds.exe , virtual drive

    http://www.tim.id.au/blog/2009/09/03/solved-bluebirds-installer-on-lg-gh22ns50-dvd-rw/ Solved: “Bluebirds” installer on LG GH22NS50 DVD-RW This is the LG GH22NS50. We’ve started stocking these at work – just the next low-cost SATA burner option for us. Except it comes with a nasty surprise, and that surprise is Bluebirds. It’s some kind of drag-to-disc software included with the drive. Not on a CD, of course; it’s hacked into the drive’s firmware, and shows up when there’s no disc in the drive at all. Which means that every time you close the tray with nothing in it, you get prompted to install it, thanks to Windows helpfully autorunning it. It’s not really a malicious program. It just sits in your system tray until you close it or uninstall it (Control Panel -> Add/remove programs, in XP). It’s probably even helpful, for the few people who let it sit around long enough to find out. I haven’t seen anyone do that yet. Way to go, LG; not only does your drive automatically try to
    자세한 내용 보기

    수지에서 인천공항 리무진 버스 (인천공항버스정보)(2022년3월업데이트)

    이미지
    용인 수지 인천공항버스 정보( 최종확인시점 : 2022/03/13 ) 수지에서 탈 수 있는 버스는 8852 (인천공항) 이고 2회 운행한다. 수지 8852  풍덕고교, 성원아파트 (지역난방공사 맞은 편) 정류장   실시간 도착정보 노선 실시간 버스위치 경남여객홈페이지 용인, 수지, 신갈 관련 김포공항, 인천공항 버스정보 http://knbus.co.kr/default/business/sub1.php [ 정류장안내 ]   - 죽전 : 보정고교 (보정역 부근) 정류장           죽전2동 주민자치센터 (죽전역) 정류장 -  수지  :  풍덕고교, 성원아파트 (지역난방공사 맞은 편) 정류장 (7,700원)           광교마을앞 정류장  - 광교 :수원광교박물관 (이의주민센터) 정류장 -  인천공항 : 1층 7A 홈( 인천공항7A ) 청소년: 일반요금의 30% 할인  인천공항 출발 요금표
    자세한 내용 보기