awk命令详解+示例
WK 数据过滤工具 (类似于grep,比grep强大)
Awk编程语言/数据处理引擎
创造者:Aho、Weinberger、Kernighan
基于模式匹配检查输入文本,逐行处理并输出
通常用在Shell脚本中,获取指定的数据,单独使用时,可对文本数据做统计
# which awk
# rpm -qf /bin/awk
语法格式:
格式1:前置命令 | awk [选项] ‘条件{编辑指令}'
格式2:awk [选项] ‘条件{编辑指令}' 文件...
编辑指令如果包含多条语句时,可以用分号分隔,处理文本时,若未指定分隔符,则默认将空格、制表符等作为分隔符。print是最常见的指令。
常用命令选项
-F:指定分隔符,可省略(默认空格或Tab位)
-V:调用外部Shell变量 variable
示例:提取密码,awk通过-v调用i变量
for i in $user
do
awk -F: -v X=$i
'$1==X{print X "---" $2}'
/etc/shadow
done
awk的内置变量
| 变量 |
用途 |
示例 |
| FS |
保存或设置字段分隔符,如FS=”:” |
|
| $n |
指定分隔的第n个字段,如$1、$3分别表示第1、第3列 |
awk -F: '{print "用户名:"$1}' /etc/passwd awk -F “:” '{print "第2列是:",$2}' a.txt 输出第1、7个字段# awk -F: '{print $1","$7}' a.txt # awk -F ":" '{print $1","$7}' a.txt 分隔符用:或/ # awk -F [:/] '{print $1","$7}' a.txt # free |awk '/Mem/{print $1,$2}' 输出文件的第1、2列:free |awk '{print $1,$2}' 查看root密码:awk -F: '/root/{print $2}' /etc/shadow 输出第1、3、12字段:uname -a | awk '{print $1,$3,$12}' |
| $0 |
当前读入的整行文本内容 |
|
| NF |
记录当前处理行的字段个数(列数)
|
#awk '{print NF}' a.txt 输出最后一列$NF: #awk '{print “Last:”$NF}' a.txt 输出倒数第二列: #awk '{print “Last:”$(NF-1)}' a.txt |
| NR |
记录当前已读入行的数量(行数) |
#awk '{print NR}' a.txt |
| FNR |
当前行在源文件中的行号 |
#awk '{print “第”FNR”行”,“有“NF”列”}' a.txt b.txt |
awk变量
243 awk '' /etc/passwd
244 awk '{print "hello"}' /etc/passwd
246 head -1 /etc/passwd
247 head -1 /etc/passwd | awk '{print "hello"}'
248 head -2 /etc/passwd | awk '{print "hello"}'
250 head -2 /etc/passwd | awk '1==2{print "hello"}'
252 awk '{print $0 }' a.txt
254 awk '{print "$0" }' a.txt
257 head /etc/passwd | awk -F ":" '{print $1}'
258 head /etc/passwd | awk -F ":" '{print $1,$7}'
259 head /etc/passwd | awk -F ":" '{print $1," "$7}'
260 head /etc/passwd | awk -F ":" '{print $1,"\tab"$7}'
262 head /etc/passwd | awk -F ":" '{print $1,"#"$7}'
263 head /etc/passwd | awk -F ":" '{print NF}'
265 awk -F ":" '{print NF}' a.txt
268 awk -F ":" 'NF==7{print $0}' a.txt
271 awk '{print NR}' a.txt b.txt
272 awk '{print FNR}' a.txt b.txt
273 awk '{print FNR,$0}' a.txt b.txt
274 awk 'FNR==2{print FNR,$0}' a.txt b.txt
275 awk 'FNR==2{print $0}' a.txt b.txt
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
awk自定义变量
1174 awk '{name="jim";print name}' a.txt
1175 awk '{name="jim";print $name}' a.txt
1177 awk '{age=21;name="jim";print name,age}' a.txt
++++++++++++++++++++++
1201 df -h
1202 df -h | grep /$
1203 df -h | grep /$ | awk '{print $2}'
1204 df -h | grep /$ | awk '{print $2}' | awk -F "G" '{print $1}'
# head -3 /etc/passwd | awk 'BEGIN{FS=":";print "name\tuid"}{print $1,"\t"$3}END{print "sum lines "NR}'
+++++++++++++++++++++++++++++++++++++++++++++++++++++
示例:查看本机ip、内存、剩余磁盘容量
#!/bin/bash
clear
echo "本地IP地址为:"
ifconfig eth0 |awk '/inet/{print $2}'
echo "本机剩余内存:"
free |awk '/Mem/{print $4}'
echo "本机剩余磁盘容量:"
df |awk '/\/$/{print $4}' #找以/结尾的行
# tailf /var/log/secure 回车到屏幕为空白为止
再开一个虚拟机窗口:ssh ip ,输入错误密码
将/var/log/secure中所有密码失败的记录IP提取出来
#awk '/Failed/{print "攻击者是:",$11}' secure
# awk '/Failed/{print $11}' /var/log/secure |sort |uniq -c
# awk '/Failed/{print $11}' /var/log/secure >>ip.log 放到周期性计划中
或放到循环中,将输入错误密码的用户设置防火墙或黑名单
# uptime |awk '{print $1,$10}' 查看cpu使用率
awk可以打印常量:awk ‘{print “Hello Wrold”}’ a.txt //打印的内容与文件无关
{print “Hello\tWrold\n”} \t为一个Tab键 \n为换行
Awk可以混合打印常量及变量:awk ‘{print “第“NR”行”“有“NF”列”}’ 文件
# awk -F: '{print "第"NR"行""有"NF"列"}' /etc/passwd
AWK过滤的时机
awk 选项 ‘条件{命令}’ 文件 ---》
awk [选项] ' BEGIN{编辑指令 } {编辑指令} END{编辑指令}' 文件
Ø 在所有行前处理,BEGIN{}
读入第一行文本之前执行(执行1次),一般用来初始化操作
Ø 逐行处理,{}
逐行读入文本执行相应的处理(1行执行1次),是最常见的编辑指令块
Ø 在所有行后处理,END{}
处理完最后一行文本之后执行(执行1次),一般用来输出处理结果
三者可单独使用,也可同时使用。 所有命令都要写在{}里
# awk 'BEGIN{print "你好"}'
列出用户名: # awk -F: 'BEGIN{print "用户名:"} /bash/{print $1}' passwd
输出预处理及处理完时的行数 # awk 'BEGIN{print NR} END{print NR}' a.txt
awk 'BEGIN{print "hello"}{print "a"}' a.txt
awk 'BEGIN{print "hello"}{print "a"}END{print "over"}' a.txt
提取IP地址:# ifconfig eth0 |awk -F: '/inet/{print $1}' |awk '{print $2}'
# ifconfig eth0 | grep "inet" | awk '{print $2}'
子网掩码:# ifconfig eth0 |awk -F"[ :]" '/inet/{print $13}'
提取根分区使用率:# df -hT / | tail -1 | awk '{print $6}'
列出a.txt有多少本书:
# awk 'BEGIN{print "\t图书:"} {print $0} END{print "有"NR"本"}' a.txt
统计使用bash的用户个数:
#awk 'BEGIN{x=0} /bash$/{x++} END{print x}' /etc/passwd
打印/etc/passwd的用户名,uid,家目录:
# awk -F: 'BEGIN{print "用户\tUID\t家"}{print $1"\t" $3"\t" $NF}END{print "总计有" NR "行"}' /etc/passwd ## “\t”显示Tab制表位
AWK处理条件
所有行全部处理并输出吗?
怎么限制处理的条件?
根据多个条件来处理指定的行?
条件的表达形式? -正则表达式;数值/字符串比较;逻辑比较;运算符
awk '[条件] {编辑指令}' 文件...
1.没有条件,默认打印:# awk '/root/' /etc/passwd
与# grep "root" /etc/passwd 结果相同
1.正则表达式
/正则/ 匹配正则(行) # awk -F: '/root/' /etc/passwd
# awk -F: '/bash$/{print}' a.txt 以bash结尾的完整记录
~/正则/ 匹配正则(列) # awk -F: '$1~/root/' /etc/passwd
!~/正则/ 不匹配
#awk -F: '/^ro/{print}' /etc/passwd 列出以ro开头的用户记录
# awk -F: '/^[a-d]/{print $1,$6}' /etc/passwd 输出以a-d开头的用户名、宿主目录
输出其中用户名以a开头、登录Shell以nologin结尾的用户名、登录Shell
# awk -F: '/^a|nologin$/{print $1,$7}' /etc/passwd
输出其中宿主目录以bin结尾(对第6个字段做~匹配)的用户名、宿主目录信息:
# awk -F: '$6~/bin$/{print $1,$6}' /etc/passwd
输出其中登录Shell不以nologin结尾(对第7个字段做!~反向匹配)的用户名、登录Shell信息:#awk -F: '$7!~/nologin$/{print $1,$7}' /etc/passwd
2.字符或数字比较
比较符号: == != >= <= < >
#awk -F: ‘NR==2{print}’a.txt 输出第2行文本
#awk -F: ‘NR%2==1{print}’ a.txt 输出奇数行(行号NR除以2余数为1)文本
# awk -F: 'NR%2==0{print}' passwd.txt 输出偶数行(行号NR除以2余数为0)文本
#awk ‘$2!=”XX”{print}’a.txt 输出第2列不是XX的行
# awk -F: 'NR<=3{print}' a.txt 输出前3行文本
# awk -F: 'NR>=5{print}' a.txt 输出从第5行开始到文件末尾的所有行
输出当前用户的用户名、宿主目录、登录Shell信息:
# awk -F: '$1==ENVIRON["USER"]{print $1,$6,$7}' /etc/passwd
#awk -F: '$1=="root"{print}' /etc/passwd 输出用户名为root的行
# awk -F: '$3>1000' /etc/passwd 打印uid大于1000的用户
# awk -F: '$3==1000' /etc/passwd
#awk -F: '$3>=500{print $1,$3}' /etc/passwd
逻辑比较
逻辑与&&:期望多个条件都成立
逻辑或||:只要有一个条件成立即满足要求
#awk -F: '$3>=0&&$3<2{print $1,$3}' /etc/passwd 列出UID小于2的用户信息
#awk -F: '$3>=1&&$3<=100{print $1,$3}' /etc/passwd 列出UID在(1-100)的用户信息
#awk -F: '$1=="root"||$3>500' /etc/passwd
#awk -F: ‘$3==1||$3==7{print $1,$3}’ /etc/passwd 列出UID为1或7的用户信息
输出第3~5行文本:# awk -F: 'NR>=3&&NR<=5{print}' a.txt
# awk -F: '(NR>=3)&&(NR<=5){print}' a.txt
输出第3行和第5行文本:# awk -F: 'NR==3||NR==5{print}' a.txt
输出“登录Shell不以nologin结尾”或者“用户名以a或d开头”的文本:
# awk -F: '$7!~/nologin$/||$1~/^[ad]/{print}' a.txt
输出UID小于3或者UID是偶数的用户记录:
# awk -F: '$3<3||$3%2==0{print}' /etc/passwd
4.运算符(与数学运算符一致)
+ - * / % ++ -- += -= *= /= %=
不需要数据文件的预处理:# awk 'BEGIN{a=12;b=13;print a+b}'
# awk 'BEGIN{a=1.2;b=13;print a*b}'
# awk 'BEGIN{a=1.2;print a*b}' //未定义变量为空
# awk 'BEGIN{x=3;x++;print x}'
输出系统内建用户的个数
awk 'BEGIN{i=0;FS=":"}$3<1000{i++}END{print "内建用户的个数是" i}' /etc/passwd
输出系统外建用户的个数
awk 'BEGIN{i=0;FS=":"}$3>=1000{i++}END{print "外建用户的个数是" i}' /etc/passwd
输出系统总用户的个数
awk 'BEGIN{i=0;FS=":"}{i++}END{print "总用户的个数是 " i}' /etc/passwd
输出不能够登陆用户的个数
awk 'BEGIN{i=0;FS=":"}$7=="/sbin/nologin"{i++}END{print "no login 用户的个数是 " i}' /etc/passwd
统计系统中使用bash作为登录Shell的用户总个数:预处理时赋值变量x=0,然后逐行读入/etc/passwd文件检查,如果发现登录Shell是/bin/bash则x增加1,全部处理完毕后,输出x的值即可:# awk '/bash$/{x++} END{print x}' /etc/passwd
# awk 'BEGIN{x=0}/\ 效果与egrep -c '\ 统计本机中普通用户的个数:# awk -F: '$3>=1000{x++} END{print x}' /etc/passwd 统计本机中系统用户的个数:# awk -F: '$3<1000{x++} END{print x}' /etc/passwd 在实际工作中,利用awk的这种处理流程可以完成许多更复杂的任务。 综计文件中以“:”分隔的总字段个数:(需要每处理一行时将当前行的字段数(内置变量NF)计和,因此可在BEGIN时定义一个初始变量,过程称求和,最后在END时输出结果) # awk -F: 'BEGIN{x=0} {x+=NF} END{print "Total "x" fields."}' /etc/passwd 统计文本的总字段个数 #awk ‘BEGIN{i=0}{i+=NF}END{print i}’ a.txt 综合运用: 列出UID间于501~505的用户详细信息: # awk -F: '$3>=501&&$3<=505{print}' /etc/passwd 输出/etc/hosts映射文件内以127或者192开头的记录: # awk -F: '/^127|^192/{print}' /etc/hosts 列出100以内整数中7的倍数或是含7的数: 此操作无处理文件,正常思路应该是用Shell循环来完成;因为要求用awk来实现,如果不用循环,则根据逐行处理的思路,应该提供一个100行的文本对象(seq 100生成1-100的整数序列),然后将行号作为处理的整数,逐个判断并输出即可。 本任务中,行号与每行的实际文本值是一致的,那么根据NR或者$0行值进行判断都是可以的。输出100以内7的倍数或是包含7的数: # seq 100 | awk 'NR%7==0||NR~/7/{print}'或: # seq 100 | awk '$0%7==0||$0~/7/{print}' {print}可以省略,省略代表默认打印 # seq 100 | awk '$1%7==0||$1~/7/' 计算在200以内,能同时被3和13整除的整数个数: # seq 200 |awk 'BEGIN{i=0}($0%3==0)&&($0%13==0){i++}END{print i}' 输出偶数行文本: # awk 'BEGIN{i=0}FNR%2==0{print FNR,$0;i++}END{print "偶数行是" i "lines"}' a.txt 输出/etc/hosts映射文件内以127或者192开头的记录: # awk '/^(127|192)/' /etc/hosts 示例:把/etc/passwd中能登录的用户及其密码(/etc/shadow)提取出来 找到使用bash作登录Shell的本地用户;列出这些用户的shadow密码记录 按每行“用户名 --> 密码记录”保存到getupwd.log #/bin/bash ## 创建空文件 > /tmp/getupwd.log ## 提取用户名列表 NAME=`awk -F: '/:\/bin\/bash$/{print $1}' /etc/passwd` ## 通过for循环遍历用户名、查询密码记录,保存结果 for NAME in $NAME do grep "^$NAME:" /etc/shadow | awk -F: '{print $1" --> "$2 | \ "cat >> /tmp/getupwd.log"}' /etc/shadow //模糊匹配 done echo "用户分析完毕,请查阅文件 /tmp/getupwd.log" ## 完成后提示 # chmod +x getupwd-awk.sh 验证、测试脚本 # ./getupwd-awk.sh 或循环内采用命令://精确匹配 awk -F: -v x=$i '$1==x{print $1"----> "$2 |"cat >>/tmp/getupwd.log"}' /etc/shadow ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ awk流程控制 if(){真} else if(){真} else(){假} 分支结构 - if 单分支: if(条件){ 编辑指令} 判断系统用户和普通用户数量: # awk -F: '{ } END{print x,y}' /etc/passwd ##先写好模板 if($3<1000){x++}else({y++} ##再写好判断 # awk -F: '{ if($3<1000){x++}else{y++} } END{print x,y}' /etc/passwd #awk 'BEGIN{FS=":"}{ if($3<=10){print $0 ; i++}}END{print i}' /etc/passwd # awk 'BEGIN{FS=":"}FNR>=20&&FNR<=30{if($3<=10){print $0 ; i++}} END{print "uid <=10 is " i}' /etc/passwd 统计/etc/passwd文件中UID小于或等于500的用户个数: # awk -F: 'BEGIN{i=0}{if($3<=500){i++}}END{print i}' /etc/passwd 统计/etc/passwd文件中UID大于500的用户个数: # awk -F: 'BEGIN{i=0}{if($3>500){i++}}END{print i}' /etc/passwd 统计/etc/passwd文件中登录Shell是“/bin/bash”的用户个数: # awk -F: 'BEGIN{i=0}{if($7~/bash$/){i++}}END{print i}' /etc/passwd 统计/etc/passwd文件中登录Shell不是“/bin/bash”的用户个数: # awk -F: 'BEGIN{i=0}{if($7!~/bash$/){i++}}END{print i}' /etc/passwd 双分支: if(条件){ 编辑指令1}else{ 编辑指令2} #awk -F ":" '{ if($3<1000){ print $1 }else{ print $3,$1 } }' /etc/passwd 分别统计/etc/passwd文件中UID小于或等于500、UID大于500的用户个数: # awk -F: 'BEGIN{i=0;j=0}{if($3<=500){i++}else{j++}}END{print i,j}' /etc/passwd 分别统计/etc/passwd文件中登录Shell是“/bin/bash”、 登录Shell不是“/bin/bash”的用户个数: # awk -F: 'BEGIN{i=0;j=0}{if($7~/bash$/){i++}else{j++}}\ END{print i,j}' /etc/passwd 多分支: if(条件){ 编辑指令1}else if(条件){ 编辑指令2}.... else if(条件){ 编辑指令N-1}else{编辑指令N} #awk -F ":" '{ if($7=="/bin/bash"){ print $1 ,"ok login" }else if($7=="/sbin/nologin"){print $1,"no login"} else{ print $0 } }' /etc/passwd 分别统计/etc/passwd文件中登录Shell是“/bin/bash”、“/sbin/nologin”、其他的用户个数:# awk -F: 'BEGIN{i=0;j=0;k=0}{if($7~/bash$/){i++}\ else if($7~/nologin$/){j++}else{k++}}END{print i,j,k}' /etc/passwd 循环结构 while (条件){循环体} for(赋初值;条件;步长){循环体} 求词频:统计/etc/passwd文件内“root”出现的次数 —— 分析:以“:”或“/”做分隔,针对每一行的每一列进行比对,如果包含“root”,则次数加1。其中,逐行处理直接由awk完成,逐列处理交给while循环,通过i变量依次取$1、$2、……、$NF进行检查;变量j在预处理时赋值0,没匹配一个字段加1。 # awk -F [:/] 'BEGIN{j=0}{i=1}\ {while(i<=NF){if($i~/root/){j++};i++}}\ END{print j}' /etc/passwd 上一命令也可用另一条等效命令: str=$(cat /etc/passwd) echo $str |awk -F “root” ‘{print NF-1}’ 实际应用时,上述操作可以简单处理,可通过命令替换将文件内容赋值给一个变量(变为一行文本),然后针对此变量值以目标字符串“root”作为分隔,获取总字段数-1即可得目标字符串的总数量: # echo $(cat /etc/passwd) | awk -F "root" '{print NF-1}' 日常运用:日志(谁,访问什么)求频率 输出数字1-10: # awk 'BEGIN{ for(i=1;i<=10;i++){print i} }' 输出数字1-10: #awk 'BEGIN{ i=1 ; while(i<= 10){print i;i++} }' 运用:#awk 'BEGIN{ i=1 ; while(i<= 10){print "172.40.56."i;i++} }' ++++++++++++++++++++++++++++++++++++++++++++++++++++ 其他控制语句 常用的中断、退出等awk指令 关键字 含义 示例 break 结束当前的循环体 continue 中止本次循环,转入下一次循环 exit 如果没有END{}则直接退出awk处理操作 awk 'BEGIN{ for(i=10;i<=20;i++){ print i } } ' awk 'BEGIN{ for(i=10;i<=20;i++){ print i ;break} } ' awk 'BEGIN{ for(i=10;i<=20;i++){break ; print i } } ' awk 'BEGIN{ for(i=10;i<=20;i++){ if(i==17){break} ; print i } } ' awk 'BEGIN{ for(i=10;i<=20;i++){ print i ; continue} } ' awk 'BEGIN{ for(i=10;i<=20;i++){ continue ; print i } } ' awk 'BEGIN{ for(i=10;i<=20;i++){ if(i==16||i==19){continue} ; print i } } ' awk 'FNR==7{exit}END{print FNR}' a.txt awk '{exit}END{print FNR}' a.txt awk 'FNR==11{exit}{print $0}' /etc/passwd awk 'FNR<=10{print $0}' /etc/passwd awk 'FNR==11{exit}{print $0}' /etc/passwd awk '{exit}{print $0}' /etc/passwd +++++++++++++++++++++++++++++++++++++++++++++++++++++ awk数组 定义数组:数组名[下标]=元素值 数组名["下标"]="元素值" ##下标不一定是数字,也可以是字符 使用数组:数组名[下标] 输出数组元素的值: print 数组名[下标] # awk 'BEGIN{teagrp[1]="plj";teagrp[2]="hpg";print teagrp[2],teagrp[1]}' //为数组teagrp赋值两个元素,值分别为plj、hpg # awk 'BEGIN{stugrp["name"]="tom";stugrp["age"]=21;stugrp["sex"]="boy";print stugrp["name"],stugrp["sex"],stugrp["age"]}' ++++++++++++++++++++++++++ 主机1(设:192.168.4.10) #yum -y install httpd #service httpd start #tailf /var/log/httpd/access_log 主机2:(关闭防火墙) #curl http://192.168.4.10 # ab -c 100 -n 10000 http://192.168.4.10/ 有100人,快速访问服务器1万次,ab中acheBench软件的缩写。DOS攻击 主机1: #wc -l /var/log/httpd/access_log 遍历数组的专属循环结构:for(变量名 in 数组名){print 数组名[变量名]} +++++++++++++++++++++++++++++++++++++++++++++++++++++ 示例:分析Web日志的访问量排名,要求获得客户机的地址、访问次数,并且按照访问次数排名 在分析Web日志文件时,每条访问记录的第一列就是客户机的IP地址,其中会有很多重复的IP地址。通过awk提取信息时,利用IP地址作为数组下标,每遇到一个重复值就将此数组元素递增1,最终就获得了这个IP地址出现的次数。 ip[1]++=1,(因为ip[1]未定义,所以为空值) 针对文本排序输出可以采用sort命令,相关的常见选项为-r、-n、-k。其中-n表示按数字顺序升序排列,而-r表示反序,-k可以指定按第几个字段来排序。 1)提取IP地址及访问量 # awk '{ip[$1]++} END{for(i in ip) {print i,ip[i]}}' /var/log/httpd/access_log 2)对第1)步的结果根据访问量排名 # awk '{ip[$1]++} END{for(i in ip) {print i,ip[i]}}' /var/log/httpd/access_log | sort -nr -k 2 输出黑名单文件: # awk '{ip[$1]++} END{for(i in ip) {print i,ip[i]}}' /var/log/httpd/access_log | awk ‘$1>=500{print $2}’ >>ip.log ##次数由工作性质来定 统计有哪些客户在登录,登录次数: # who |awk '{IP[$1]++} END{for(i in IP){print i,IP[i]}}' # head /etc/passwd | awk -F ":" '{ usergrp[$1]=$3}END{print usergrp["bin"]}' # head /etc/passwd | awk '{i++}END{print i}' # head /etc/passwd | awk '{usergrp[1]++;print usergrp[1] }' # awk '{usergrp[$0]++}END{for(x in usergrp){print x,usergrp[x]} }' user.txt # head /etc/passwd | awk -F ":" '{usergrp[i++]=$1}END{ for(x=0;x<=9;x++) {print "usergrp["x"]=" usergrp[x]} }' # head /etc/passwd | awk -F ":" '{ usergrp[$1]=$3}END{for( x in usergrp){print x} }' # head /etc/passwd | awk -F ":" '{ usergrp[$1]=$3}END{for( x in usergrp){print x,usergrp[x]} }' # awk 'BEGIN{a[0]=1;a[1]=2;a[2]=3; for(i in a){print a[i]} }' # awk 'BEGIN{t[a]=1;t[b]=2;t[f]=3; for(j in t){print t[j]} }'