Nginx查找訪問前10的IP的方法

藍隊云小課堂：

在管理和維護Web服務器時，了解誰正在訪問您的網站是非常重要的。Nginx是一個流行的Web服務器，通過分析其訪問日志，您可以了解訪問者的來源、頻率以及他們的行為。有時候，您可能希望查找訪問量最高的IP地址，以便進一步分析或采取措施，比如加強安全性或優化性能。下面我們看下如何查找訪問Nginx的前10個IP地址的方法。

Nginx訪問日志

Nginx訪問日志記錄了每個訪問服務器的請求信息，包括請求的時間、客戶端IP地址、請求的URL、HTTP狀態碼等。訪問日志的默認位置通常是 /var/log/nginx/access.log，但具體位置可能會根據您的 Nginx 配置而有所不同。

一個典型的 Nginx 訪問日志條目可能如下所示：

127.0.0.1 - - [17/Mar/2024:10:30:00 +0000] "GET /example-page HTTP/1.1" 200 1234 "-" "Mozilla/5.0 ..."

其中：

127.0.0.1 是客戶端的IP地址。

[17/Mar/2024:10:30:00 +0000] 是請求的時間。

"GET /example-page HTTP/1.1" 是請求的方法和URL。

200 是HTTP狀態碼。

1234 是響應的字節數。

"-" "Mozilla/5.0 ..." 是用戶代理字符串，指明了客戶端的瀏覽器信息。

1、使用命令行工具分析日志

您可以使用命令行工具來分析Nginx訪問日志，并提取前10個IP地址。

使用 grep來過濾出所有的IP地址：

grep -oE "\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b" /var/log/nginx/access.log

此命令將在Nginx訪問日志中查找并提取出所有的IP地址。

使用 awk 來統計每個IP地址出現的次數，并按出現次數排序：

awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10

這條命令將列出Nginx訪問日志中出現次數最多的前10個IP地址，并顯示它們出現的次數。

使用 sed 和 sort 來提取前10個IP地址：

sed -E 's/^([0-9]+\\.[0-9]+\\.[0-9]+\\.[0-9]+).*$/\\1/' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10

2、使用腳本自動化分析日志

盡管命令行工具在分析 Nginx 訪問日志時非常有用，但在處理大量日志條目時可能變得不夠高效。為了更有效地處理日志并提取前10個IP地址，您可以編寫一個簡單的腳本來自動化這個過程。

下面是一個使用Bash腳本的示例，用于提取Nginx訪問日志中出現次數最多的前10個IP地址：

#!/bin/bash

# 定義日志文件路徑

LOG_FILE="/var/log/nginx/access.log"

# 提取日志中的 IP 地址并統計出現次數

IP_COUNT=$(awk '{print $1}' $LOG_FILE | sort | uniq -c | sort -nr)

# 提取前 10 個 IP 地址及其出現次數

TOP_IP=$(echo "$IP_COUNT" | head -n 10)

# 打印結果

echo "Top 10 IP addresses accessing Nginx:"

echo "$TOP_IP"

保存上述代碼為一個腳本文件（例如analyze_nginx_logs.sh），然后通過運行bash analyze_nginx_logs.sh來執行它。腳本將讀取Nginx訪問日志文件，提取前10個最常見的IP地址及其出現次數，并將結果打印出來。

您可以根據需要對腳本進行修改和定制，以滿足特定的分析要求。例如，您可能希望將結果寫入另一個文件，或者在輸出中添加更多的信息。這取決于您的具體需求和偏好。

使用腳本可以節省您在分析日志時的時間和精力，并且使得這個過程更加可重復和可擴展。

3、使用日志分析工具

雖然使用命令行工具和腳本可以對Nginx訪問日志進行分析，但是對于大型或復雜的日志文件，使用專門設計的日志分析工具可能更加高效和方便。

AWStats

AWStats是一個強大的開源日志分析工具，它能夠生成詳細的統計報告，包括訪問者數量、頁面瀏覽量、流量分析等。要使用AWStats分析Nginx訪問日志，您需要按照官方文檔的指導進行安裝和配置。一旦配置完成，AWStats將會自動生成分析報告，其中包含了訪問量最高的IP地址。

GoAccess

GoAccess是另一個流行的開源日志分析工具，它提供了實時的日志分析和可視化功能。GoAccess支持對Nginx訪問日志進行實時監控，并生成交互式的報告。您可以使用GoAccess快速找到訪問量最高的IP地址，并查看其他有用的統計信息。

ELK Stack

ELK Stack是一組開源工具的組合，包括Elasticsearch、Logstash和Kibana，用于實時日志分析和可視化。通過配置Logstash來收集和解析Nginx訪問日志，然后將數據存儲在 Elasticsearch中。最后，使用Kibana來查詢和可視化數據，并生成各種報告和儀表盤。ELK Stack 提供了靈活和強大的分析功能，可以幫助您更深入地了解訪問模式和行為。

在查找訪問Nginx的前10個IP地址時，需要注意一些安全性考慮。由于IP地址是公開信息，因此您應該謹慎處理這些數據，以防止泄露用戶的個人信息或敏感信息。另外，如果發現某些IP地址頻繁訪問您的服務器并且具有惡意行為，您可能需要采取相應的安全措施，比如封鎖這些IP地址或加強服務器的安全配置。

更多小知識，可聯系藍隊云一起探討。