日志查找访问最多的ip，nginx禁止访问

首先查找nginx日志中访问次数最多的ip
 

cat access_nginx.log | grep "/send" | awk '{print $(1)}' | sort | uniq -c | sort -k 1 -n -r|head -100

cat 查看文件access_nginx.log 文件。
grep 管道查找指定字符的接口。
awk后面跟一个指令，awk '{print $(NF-1)}'就是打印出日志内容的第几列。$1就是第一列，$(NF)就是总列数，那么我要根据倒数第二列统计，就是$(NF-1)。 那么我要根据第一列统计，就是$(1)
sort就是对内容进行排序，默认是自然顺序排序。
uniq指令用于排重，而是只适用于相邻两行相同的情况。所以一般结合sort使用。即先sort排序再排重。
uniq -u是只显示唯一的记录行。uniq -c是显示有重复记录的情况。
sort -k 1 -n -r这个指令，参看下面sort指令参数的详细说明

sort选项与参数：
-f  ：忽略大小写的差异，例如 A 与 a 视为编码相同；
-b  ：忽略最前面的空格符部分；
-M  ：以月份的名字来排序，例如 JAN, DEC 等等的排序方法；
-n  ：使用『纯数字』进行排序(默认是以文字型态来排序的)；
-r  ：反向排序；
-u  ：就是 uniq ，相同的数据中，仅出现一行代表；
-t  ：分隔符，默认是用 [tab] 键来分隔；
-k  ：以哪个区间 (field) 来进行排序的意思

所以 sort -k 1 -n -r 指令的意思就是对第一列按照纯数字逆序排序。
 

这个纯数字是哪里来的呢？是uniq -c来的，原来剩下一列就是IP了，当执行uniq -c指令时，它会统计重复记录的次数并把这次数显示在第一列。所以现在有两列了，第一列是重复次数，第二列是IP。所以这里是按照重复次数排序。

head -10这个不用说了吧，显示前10行。


再以上操作中 我们查出来了访问最高的几个ip如

  17894 117.28.244.16
  17414 118.190.153.129
  16860 111.6.79.108

接下来对 这些ip 做 限制。
/usr/local/nginx/conf  新建 black_ip_list.conf 文件

vim /usr/local/nginx/conf/black_ip_list.conf

写入
 

deny 117.28.244.16;
deny 118.190.153.129;
deny 111.6.79.108;

保存后，如果想在当前服务器上的所有请求禁止 black_ip_list.conf 内的ip访问。则在nginx.conf中的 http {}  添加 
 

include black_ip_list.conf;

若只在某个域名下 则再 域名对用的server{} 添加

include black_ip_list.conf;

reload nginx 即可生效