Nginx查找訪問前10的IP的方法

藍(lán)隊(duì)云小課堂：

在管理和維護(hù)Web服務(wù)器時，了解誰正在訪問您的網(wǎng)站是非常重要的。Nginx是一個流行的Web服務(wù)器，通過分析其訪問日志，您可以了解訪問者的來源、頻率以及他們的行為。有時候，您可能希望查找訪問量最高的IP地址，以便進(jìn)一步分析或采取措施，比如加強(qiáng)安全性或優(yōu)化性能。下面我們看下如何查找訪問Nginx的前10個IP地址的方法。

Nginx訪問日志

Nginx訪問日志記錄了每個訪問服務(wù)器的請求信息，包括請求的時間、客戶端IP地址、請求的URL、HTTP狀態(tài)碼等。訪問日志的默認(rèn)位置通常是 /var/log/nginx/access.log，但具體位置可能會根據(jù)您的 Nginx 配置而有所不同。

一個典型的 Nginx 訪問日志條目可能如下所示：

127.0.0.1 - - [17/Mar/2024:10:30:00 +0000] "GET /example-page HTTP/1.1" 200 1234 "-" "Mozilla/5.0 ..."

其中：

127.0.0.1 是客戶端的IP地址。

[17/Mar/2024:10:30:00 +0000] 是請求的時間。

"GET /example-page HTTP/1.1" 是請求的方法和URL。

200 是HTTP狀態(tài)碼。

1234 是響應(yīng)的字節(jié)數(shù)。

"-" "Mozilla/5.0 ..." 是用戶代理字符串，指明了客戶端的瀏覽器信息。

1、使用命令行工具分析日志

您可以使用命令行工具來分析Nginx訪問日志，并提取前10個IP地址。

使用 grep來過濾出所有的IP地址：

grep -oE "\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b" /var/log/nginx/access.log

此命令將在Nginx訪問日志中查找并提取出所有的IP地址。

使用 awk 來統(tǒng)計(jì)每個IP地址出現(xiàn)的次數(shù)，并按出現(xiàn)次數(shù)排序：

awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10

這條命令將列出Nginx訪問日志中出現(xiàn)次數(shù)最多的前10個IP地址，并顯示它們出現(xiàn)的次數(shù)。

使用 sed 和 sort 來提取前10個IP地址：

sed -E 's/^([0-9]+\\.[0-9]+\\.[0-9]+\\.[0-9]+).*$/\\1/' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10

2、使用腳本自動化分析日志

盡管命令行工具在分析 Nginx 訪問日志時非常有用，但在處理大量日志條目時可能變得不夠高效。為了更有效地處理日志并提取前10個IP地址，您可以編寫一個簡單的腳本來自動化這個過程。

下面是一個使用Bash腳本的示例，用于提取Nginx訪問日志中出現(xiàn)次數(shù)最多的前10個IP地址：

#!/bin/bash

# 定義日志文件路徑

LOG_FILE="/var/log/nginx/access.log"

# 提取日志中的 IP 地址并統(tǒng)計(jì)出現(xiàn)次數(shù)

IP_COUNT=$(awk '{print $1}' $LOG_FILE | sort | uniq -c | sort -nr)

# 提取前 10 個 IP 地址及其出現(xiàn)次數(shù)

TOP_IP=$(echo "$IP_COUNT" | head -n 10)

# 打印結(jié)果

echo "Top 10 IP addresses accessing Nginx:"

echo "$TOP_IP"

保存上述代碼為一個腳本文件（例如analyze_nginx_logs.sh），然后通過運(yùn)行bash analyze_nginx_logs.sh來執(zhí)行它。腳本將讀取Nginx訪問日志文件，提取前10個最常見的IP地址及其出現(xiàn)次數(shù)，并將結(jié)果打印出來。

您可以根據(jù)需要對腳本進(jìn)行修改和定制，以滿足特定的分析要求。例如，您可能希望將結(jié)果寫入另一個文件，或者在輸出中添加更多的信息。這取決于您的具體需求和偏好。

使用腳本可以節(jié)省您在分析日志時的時間和精力，并且使得這個過程更加可重復(fù)和可擴(kuò)展。

3、使用日志分析工具

雖然使用命令行工具和腳本可以對Nginx訪問日志進(jìn)行分析，但是對于大型或復(fù)雜的日志文件，使用專門設(shè)計(jì)的日志分析工具可能更加高效和方便。

AWStats

AWStats是一個強(qiáng)大的開源日志分析工具，它能夠生成詳細(xì)的統(tǒng)計(jì)報(bào)告，包括訪問者數(shù)量、頁面瀏覽量、流量分析等。要使用AWStats分析Nginx訪問日志，您需要按照官方文檔的指導(dǎo)進(jìn)行安裝和配置。一旦配置完成，AWStats將會自動生成分析報(bào)告，其中包含了訪問量最高的IP地址。

GoAccess

GoAccess是另一個流行的開源日志分析工具，它提供了實(shí)時的日志分析和可視化功能。GoAccess支持對Nginx訪問日志進(jìn)行實(shí)時監(jiān)控，并生成交互式的報(bào)告。您可以使用GoAccess快速找到訪問量最高的IP地址，并查看其他有用的統(tǒng)計(jì)信息。

ELK Stack

ELK Stack是一組開源工具的組合，包括Elasticsearch、Logstash和Kibana，用于實(shí)時日志分析和可視化。通過配置Logstash來收集和解析Nginx訪問日志，然后將數(shù)據(jù)存儲在 Elasticsearch中。最后，使用Kibana來查詢和可視化數(shù)據(jù)，并生成各種報(bào)告和儀表盤。ELK Stack 提供了靈活和強(qiáng)大的分析功能，可以幫助您更深入地了解訪問模式和行為。

在查找訪問Nginx的前10個IP地址時，需要注意一些安全性考慮。由于IP地址是公開信息，因此您應(yīng)該謹(jǐn)慎處理這些數(shù)據(jù)，以防止泄露用戶的個人信息或敏感信息。另外，如果發(fā)現(xiàn)某些IP地址頻繁訪問您的服務(wù)器并且具有惡意行為，您可能需要采取相應(yīng)的安全措施，比如封鎖這些IP地址或加強(qiáng)服務(wù)器的安全配置。

更多小知識，可聯(lián)系藍(lán)隊(duì)云一起探討。