系统连接状态篇:
1.查看TCP连接状态
netstat nat | awk的{打印6美元}| |排序uniq - c | -rn
netstat - n | awk '/^ tcp/{+ + S (NF美元)};结束{(S)打印,S [a]}”或
netstat - n | awk '/^ tcp/{+ +状态(NF美元)};结束{(关键状态)打印键,“\ t”状态(例子)}的
netstat - n | awk '/^ tcp/{+ + arr (NF美元)};结束{k (k arr)打印,“\ t”, arr [k]}“
netstat - n | awk '/^ tcp/{print $ NF}’排序| | uniq - c | -rn
netstat ant | awk的{打印$ NF} | grep - v“[a - z]”排序| | uniq - c
2.查找请求数请20个IP(常用于查找攻来源):
netstat -anlp | grep tcp | 80 | grep awk的{打印5美元}| awk - f:“{打印1美元}”排序| | uniq排序nr - c | |头n20
netstat ant | awk的/:80/{分裂(5美元,ip,“:”); + +一个[ip[1]]}结束{为(我的)打印一个[我],我}”|排序rn |头n20
3.用tcpdump嗅探80端口的访问看看谁最高
tcpdump - eth0 -tnn dst端口80 - c 1000 | awk - f”。“”{打印1美元。”2“。”3美元”。“$ 4}' | | uniq排序nr - c | |头-20
4.查找较多time_wait连接
netstat - n | grep TIME_WAIT | awk的{打印5美元}| |排序uniq排序rn - c | |头n20
5.找查较多的SYN连接
netstat——| grep SYN | awk的{打印5美元}| awk - f:“{打印1美元}”排序| | uniq排序nr - c | |更多
6.根据端口列进程
netstat -ntlp | 80 | grep awk的{打印7美元}|切- d/f1
网站日志分析篇1 (Apache):
1.获得访问前10位的ip地址
猫的访问。日志| awk的{打印1美元}| |排序uniq排序nr - c | |头-10
猫的访问。日志| awk的{计数($ (11))+=1};在计数结束{(url)打印数量[url], url}“
2.访问次数最多的文件或页面,取前20
猫的访问。日志| awk的{打印$ 11}| |排序uniq排序nr - c | |头-20
3.列出传输最大的几个exe文件(分析下载站的时候常用)
猫的访问。日志| awk '(~ 7美元/\ . exe/){打印10美元”“$ 1”“4”“7美元}”|排序nr |头-20
4 .列出输出大于200000字节(约200 kb)的exe文件以及对应文件发生次数
猫的访问。日志| awk”(在10美元200000年,,7美元~/\ . exe/){打印7美元}’排序- n | | uniq排序nr - c | |头-100
5.如果日志最后一列记录的是页面文件传输时间,则有列出到客户端最耗时的页面
猫的访问。日志| awk, '(~/\ 7美元。php/){打印NF”“1美元”“4”“7美元}”|排序nr |头-100
6 .列出最最耗时的页面(超过60秒的)的以及对应页面发生次数
猫的访问。日志| awk”(NF比美元;60岁,,7美元~/\。php/){打印7美元}’排序- n | | uniq排序nr - c | |头-100
7.列出传输时间超过30秒的文件
猫的访问。日志| awk”(NF比美元;30){打印7美元}’排序- n | | uniq排序nr - c | |头-20
8 .统计网站流量(G)
猫的访问。日志| awk的{总和+=$ 10}{打印和/1024/1024/1024}终结”
9.统计404年的连接
awk(404 9 ~//)的访问。日志| awk的{打印9美元,7美元}|
排序
10. 统计http状态。
猫的访问。日志| awk的{计数[$ (9)]+=1};结束{(计数)中的代码打印代码,计数(代码)}的
猫的访问。日志| awk的{打印9美元}| |排序uniq排序rn - c |
10.蜘蛛分析
查看是哪些蜘蛛在抓取内容。
/usr/sbin/tcpdump我eth0 - l - s 0 - w - dst端口80 | | grep - user - agent字符串| grep - i - e的履带式机器人| | |发出声音蜘蛛
网站日分析2(鱿鱼篇)
2.按域统计流量
zcat squid_access.log.tar。广州| awk的{打印10美元,7美元}| awk的开始{FS=" (/)} {trfc(4美元)+=$ 1}{(域拷贝结束
,
1.查看TCP连接状态
netstat nat | awk的{打印6美元}| |排序uniq - c | -rn
netstat - n | awk '/^ tcp/{+ + S (NF美元)};结束{(S)打印,S [a]}”或
netstat - n | awk '/^ tcp/{+ +状态(NF美元)};结束{(关键状态)打印键,“\ t”状态(例子)}的
netstat - n | awk '/^ tcp/{+ + arr (NF美元)};结束{k (k arr)打印,“\ t”, arr [k]}“
netstat - n | awk '/^ tcp/{print $ NF}’排序| | uniq - c | -rn
netstat ant | awk的{打印$ NF} | grep - v“[a - z]”排序| | uniq - c
2.查找请求数请20个IP(常用于查找攻来源):
netstat -anlp | grep tcp | 80 | grep awk的{打印5美元}| awk - f:“{打印1美元}”排序| | uniq排序nr - c | |头n20
netstat ant | awk的/:80/{分裂(5美元,ip,“:”); + +一个[ip[1]]}结束{为(我的)打印一个[我],我}”|排序rn |头n20
3.用tcpdump嗅探80端口的访问看看谁最高
tcpdump - eth0 -tnn dst端口80 - c 1000 | awk - f”。“”{打印1美元。”2“。”3美元”。“$ 4}' | | uniq排序nr - c | |头-20
4.查找较多time_wait连接
netstat - n | grep TIME_WAIT | awk的{打印5美元}| |排序uniq排序rn - c | |头n20
5.找查较多的SYN连接
netstat——| grep SYN | awk的{打印5美元}| awk - f:“{打印1美元}”排序| | uniq排序nr - c | |更多
6.根据端口列进程
netstat -ntlp | 80 | grep awk的{打印7美元}|切- d/f1
网站日志分析篇1 (Apache):
1.获得访问前10位的ip地址
猫的访问。日志| awk的{打印1美元}| |排序uniq排序nr - c | |头-10
猫的访问。日志| awk的{计数($ (11))+=1};在计数结束{(url)打印数量[url], url}“
2.访问次数最多的文件或页面,取前20
猫的访问。日志| awk的{打印$ 11}| |排序uniq排序nr - c | |头-20
3.列出传输最大的几个exe文件(分析下载站的时候常用)
猫的访问。日志| awk '(~ 7美元/\ . exe/){打印10美元”“$ 1”“4”“7美元}”|排序nr |头-20
4 .列出输出大于200000字节(约200 kb)的exe文件以及对应文件发生次数
猫的访问。日志| awk”(在10美元200000年,,7美元~/\ . exe/){打印7美元}’排序- n | | uniq排序nr - c | |头-100
5.如果日志最后一列记录的是页面文件传输时间,则有列出到客户端最耗时的页面
猫的访问。日志| awk, '(~/\ 7美元。php/){打印NF”“1美元”“4”“7美元}”|排序nr |头-100
6 .列出最最耗时的页面(超过60秒的)的以及对应页面发生次数
猫的访问。日志| awk”(NF比美元;60岁,,7美元~/\。php/){打印7美元}’排序- n | | uniq排序nr - c | |头-100
7.列出传输时间超过30秒的文件
猫的访问。日志| awk”(NF比美元;30){打印7美元}’排序- n | | uniq排序nr - c | |头-20
8 .统计网站流量(G)
猫的访问。日志| awk的{总和+=$ 10}{打印和/1024/1024/1024}终结”
9.统计404年的连接
awk(404 9 ~//)的访问。日志| awk的{打印9美元,7美元}|
排序
10. 统计http状态。
猫的访问。日志| awk的{计数[$ (9)]+=1};结束{(计数)中的代码打印代码,计数(代码)}的
猫的访问。日志| awk的{打印9美元}| |排序uniq排序rn - c |
10.蜘蛛分析
查看是哪些蜘蛛在抓取内容。
/usr/sbin/tcpdump我eth0 - l - s 0 - w - dst端口80 | | grep - user - agent字符串| grep - i - e的履带式机器人| | |发出声音蜘蛛
网站日分析2(鱿鱼篇)
2.按域统计流量
zcat squid_access.log.tar。广州| awk的{打印10美元,7美元}| awk的开始{FS=" (/)} {trfc(4美元)+=$ 1}{(域拷贝结束
,