文本三剑客之awk命令
awk概述
awk的工作原理:
- 逐行读取文本,默认以空格或tab键为分隔符进行分隔,将分隔所得的各个字段保存到内建变量中,并按模式或者条件执行编辑命令。
- awk倾向于将一行分成多个"字段"然后再进行处理。
- awk信息的读入也是逐行读取的,执行结果可以通过print的功能将字段数据打印显示。
- 使用awk命令的过程中,可以使用逻辑操作符"&&"表示"与"、"|"表示"或"、"!"表示"非",还可以进行简单的数学运算,如+、-、*、/、%、^分别表示加、减、乘、除、取余和乘方。
awk的命令格式:
awk 选项 '模式或条件 {操作}' 文件1 文件2...
awk -f 脚本文件 文件1 文件2
注意:
- 注意一定是单引号:'模式或条件 {操作}'
- { }外指定条件,{ }内指定操作。
- 用逗号指定连续的行,用 || 指定不连续的行。&&表示”且“。
- 内建变量,不能用双引号括起来,不然系统会把它当成字符串
awk常见的内置变量(可直接使用):
| 内置变量 | 含义 |
|---|---|
| $0 | 当前处理的行的整行内容 |
| $n | 当前处理行的第n个字段(第n列) |
| NR | 当前处理的行的行号(序数) |
| NF | 当前处理的行的字段个数。$NF代表最后一个字段 |
| FS | 列分割符。指定每行文本的字段分隔符,默认为空格或制表位。与"-F"作用相同 |
| OFS | 输出内容的列分隔符 |
| FILENAME | 被处理的文件名 |
| RS | 行分隔符。awk从文件中读取资料时,将根据RS的定义把资料切割成许多条记录, 而awk一次仅读入一条记录进行处理。预设值是"\n" |
awk的基础用法
2.1 按行输出内容
示例1:$0表示当前行的整行内容
1、输出所有内容。逐行读取,$0表示当前行的整行内容。
[root@yuji ~]# awk '{print $0}' ff.txt //输出所有内容
one
two
three
four
five
six
seven
eight
nine
ten
[root@yuji ~]# awk '{print}' ff.txt //输出所有内容
one
two
three
four
five
six
seven
eight
nine
ten
使用NR指定行号
NR表示当前处理的行的行号(序数)。
1、打印1到3行。逗号表示连续的行内容。&&表示”且
[root@yuji ~]# awk 'NR==1,NR==3 {print $0}' ff.txt //打印1到3行
one
two
three
[root@yuji ~]# awk '(NR>=1)&&(NR<=3) {print}' ff.txt
one
two
three
注意符号"||"(表示“或“)
[root@yuji ~]# awk '(NR>=1)||(NR<=3) {print}' ff.txt //打印所有行
one
two
three
four
five
six
seven
eight
nine
ten
[root@yuji ~]# awk '(NR==1)||(NR==3) {print}' ff.txt //打印第1行、第3行
one
three
打印奇数行;打印偶数行。(将行号除以2取余数,余1是奇数行,余0是偶数行
[root@yuji ~]# awk '(NR%2)==1 {print}' ff.txt //打印奇数行
one
three
five
seven
nine
[root@yuji ~]# awk '(NR%2)==0 {print}' ff.txt //打印偶数行
two
four
six
eight
ten
$n 表示当前处理行的第n个字段
[root@yuji ~]# ifconfig ens33
ens33: flags=4163 mtu 1500
inet 192.168.72.192 netmask 255.255.255.0 broadcast 192.168.72.255
inet6 fe80::fb25:1441:ffa2:fe13 prefixlen 64 scopeid 0x20
ether 00:0c:29:09:56:c0 txqueuelen 1000 (Ethernet)
RX packets 941 bytes 95889 (93.6 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 652 bytes 98855 (96.5 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
[root@yuji ~]# ifconfig ens33| awk 'NR==2{print $2}'
192.168.72.192
通过文本模式(匹配字符串)过滤出行
和正则表达式结合,通过匹配字符串过滤出想要的行。
1、输出包含root的行。
[root@yuji ~]# awk '/root/ {print}' pass.txt //使用awk命令
root:x:0:0:root:/root:/bin/bash
operator:x:11:0:operator:/root:/sbin/nologin
[root@yuji ~]# sed -n '/root/p' pass.txt //使用sed命令
root:x:0:0:root:/root:/bin/bash
operator:x:11:0:operator:/root:/sbin/nologin
#使用awk命令
[root@yuji ~]# awk '/^root/ {print}' pass.txt //输出以root开头的行
root:x:0:0:root:/root:/bin/bash
[root@yuji ~]# awk '/bash$/ {print}' pass.txt //输出以bash结尾的行。
root:x:0:0:root:/root:/bin/bash
yuji2:x:1000:1000:yuji2:/home/yuji2:/bin/bash
nancy:x:1021:1021::/home/nancy:/bin/bash
helen:x:1022:1022::/home/helen:/bin/bash
#使用sed命令
[root@yuji ~]# sed -n '/^root/p' pass.txt //输出以root开头的行
root:x:0:0:root:/root:/bin/bash
[root@yuji ~]# sed -n '/bash$/p' pass.txt //输出以bash结尾的行。
root:x:0:0:root:/root:/bin/bash
yuji2:x:1000:1000:yuji2:/home/yuji2:/bin/bash
nancy:x:1021:1021::/home/nancy:/bin/bash
helen:x:1022:1022::/home/helen:/bin/bash
BEGIN模式
格式
awk 'BEGIN{...};{...};END{...}' 文件
#处理过程:
1、在awk处理指定的文本之前,需要先执行BEGIN{...}模式里的命令操作;
2、中间的{...} 是真正用于处理文件的命令操作;
3、在awk处理完文件后才会执行END{...}模式里的命令操作。END{ }语句块中,往往会放入打印结果等语句。
统计以bash结尾的行。
- BEGIN是处理文件之前进行的操作,END是处理文件之后进行的操作。
- /bash$/ 是需要满足的条件。
- BEGIN语块中先指定一个变量x=0;之后处理文件、每检索出一次以bash结尾的行,就执行x=x+1;最后执行END语块中的命令,打印x的值。
[root@yuji ~]# awk '/bash$/{print}' pass.txt
root:x:0:0:root:/root:/bin/bash
yuji2:x:1000:1000:yuji2:/home/yuji2:/bin/bash
nancy:x:1021:1021::/home/nancy:/bin/bash
helen:x:1022:1022::/home/helen:/bin/bash
[root@yuji ~]# awk 'BEGIN{x=0};/bash$/{x++};END{print x}' pass.txt
4
按字段(列)输出内容
指定列分隔符的两种方式:使用-F 或 使用内建变量FS。
示例1:使用 -F 指定分隔符。
[root@yuji ~]# awk -F ':' '{print $1,$3}' /etc/passwd
root 0
bin 1
daemon 2
adm 3
lp 4
sync 5
shutdown 6
halt 7
mail 8
......
将内建变量FS 重新赋值。
内建变量FS表示列分隔符,默认为空格或制表位。重新赋值可重新指定分隔符。
[root@yuji ~]# awk 'BEGIN {FS=":"};{print $1,$3}' /etc/passwd
root 0
bin 1
daemon 2
adm 3
lp 4
sync 5
shutdown 6
halt 7
mail 8
......
打印UID大于500的用户、打印UID小于等于500的用户(!取反)
要求打印用户名和UID。
! 表示取反,不大于500,即小于等于500。
#以冒号作为分隔符,过滤出第3字段大于500的行,之后打印第1字段和第3字段
[root@yuji ~]# awk -F: '$3>500 {print $1,$3}' /etc/passwd
#以冒号作为分隔符,过滤出第3字段小于等于500的行,之后打印第1字段和第3字段
[root@yuji ~]# awk -F: '!($3>500) {print $1,$3}' /etc/passwd
使用if语句
使用if语句时,内部条件要加( ),外面要加{ }。
将{ }整条语句当作一个操作命令,相当于嵌套。
[root@yuji ~]# awk -F: '{if($3>500) {print $1,$3}}' /etc/passwd
polkitd 999
libstoragemgmt 998
colord 997
saslauth 996
setroubleshoot 995
chrony 994
geoclue 993
sssd 992
nfsnobody 65534
gnome-initial-setup 991
yuji2 1000
nancy 1021
helen 1022
三元运算符
java中: (条件表达式)?(A表达式或者值):(B表达式或者值)
- 条件表达式成立(为真)时,会取冒号前面的值A。
- 条件表达式不成立(为假)时,会取冒号后面的值B。
Shell中: [ 条件表达式 ] && A || B
- 条件表达式成立(为真)时,会取||前面的值A。
- 条件表达式不成立(为假)时,会取||后面的值B。
[root@yuji ~]# awk -F: '{max=($3>=$4)?$3:$4;{print max,$1}}' /etc/passwd
0 root
1 bin
2 daemon
4 adm
7 lp
5 sync
6 shutdown
7 halt
12 mail
......
$NF、$n~、$n!~、$n==、$n!=
$NF //代表最后一个字段
~ 表示包含,!~ 表示不包含,== 表示等于,!= 表示不等于
$n> < == //用于对比数值
$n~"字符串" //代表第n个字段 包含 某个字符串的作用
$n!~"字符串" //代表第n个字段 不包含 某个字符串的作用
$n=="字符串" //代表第n个字段 为 某个字符串的作用
$n!="字符串" //代表第n个字段 不为 某个字符串的作用
要求第7个字段不等于"/bin/bash",且不等于"/sbin/nologin"时,输出第1个字段、第3个字段、最后一个字段
[root@yuji ~]# awk -F: '($7!="/bin/bash")&&($NF!="/sbin/nologin") {print $1,$3,$NF}' /etc/passwd
sync 5 /bin/sync
shutdown 6 /sbin/shutdown
halt 7 /sbin/halt
awk的高级用法
RS 指定行分隔符
awk从文件中读取资料时,将根据RS的定义把资料切割成许多条记录, 而awk一次仅读入一条记录进行处理。内置变量RS的预设值是"\n"。
指定冒号作为分隔符,打印行号和整行内容。
[root@yuji ~]# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
[root@yuji ~]# echo $PATH |awk 'BEGIN{RS=":"};{print NR,$0}' //指定冒号作为分隔符,打印行号和整行内容
1 /usr/local/sbin
2 /usr/local/bin
3 /usr/sbin
4 /usr/bin
5 /root/bin
[root@yuji ~]#
通过管道处理其他命令的结果
统计行数
方法一:使用内置变量NR,打印最后一行行号
处理完文本后,打印行号,这个行号就是最后一行的行号,也就是行数。(这种方式只适用于输出所有行的情况,即只能统计全文本有多少行)
[root@yuji ~]# echo $PATH |awk 'BEGIN{RS=":"};{print NR,$0}'
1 /usr/local/sbin
2 /usr/local/bin
3 /usr/sbin
4 /usr/bin
5 /root/bin
[root@yuji ~]# echo $PATH |awk 'BEGIN{RS=":"};END{print NR}'
使用"wc -l" 统计行数
使用管道符将命令结果传给"wc -l"。如果在{ }内使用"wc -l" ,一定要加双引号。
[root@yuji ~]# awk -F: '/bash$/{print}' pass.txt
root:x:0:0:root:/root:/bin/bash
yuji2:x:1000:1000:yuji2:/home/yuji2:/bin/bash
nancy:x:1021:1021::/home/nancy:/bin/bash
helen:x:1022:1022::/home/helen:/bin/bash
[root@yuji ~]# awk -F: '/bash$/{print}' pass.txt |wc -l
4
[root@yuji ~]# awk -F: '/bash$/{print |"wc -l"}' pass.txt
4
使用 "grep -c" 统计匹配行的行数。
[root@yuji ~]# grep -c "bash$" pass.txt
4统计内存使用率
free命令可以查看内存使用情况。
使用率=使用的内存数量/总内存数量。
int表示取整数。
[root@yuji ~]# free
total used free shared buff/cache available
Mem: 999696 310872 319996 7400 368828 491760
Swap: 2097148 0 2097148
[root@yuji ~]# free | awk '/Mem:/ {print $3/$2}'
0.311223
[root@yuji ~]# free | awk '/Mem:/ {print $3/$2*100}'
31.1223
[root@yuji ~]# free | awk '/Mem:/ {print int($3/$2*100)}'
31
[root@yuji ~]# free | awk '/Mem:/ {print int($3/$2*100)"%"}'
31%
过滤出CPU的空闲率
top命令可以查看CPU的使用情况。
top -b -n 1 只会输出一次top的结果 不会进行刷新 。
[root@yuji ~]# top -b -n 1
top - 18:45:59 up 4:46, 3 users, load average: 0.04, 0.08, 0.06
Tasks: 149 total, 1 running, 148 sleeping, 0 stopped, 0 zombie
%Cpu(s): 0.0 us, 6.2 sy, 0.0 ni, 93.8 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 s
KiB Mem : 999696 total, 317456 free, 311324 used, 370916 buff/cache
KiB Swap: 2097148 total, 2097148 free, 0 used. 491288 avail Mem
[root@yuji ~]# top -b -n 1 |awk -F, '/Cpu/{print $4}'
100.0 id
[root@yuji ~]# top -b -n 1 |awk -F, '/Cpu/{print $4}' |awk '{print $1}'
100.0
[root@yuji ~]# top -b -n 1 |awk -F, '/Cpu/{print $4}' |awk '{print int($1)}'
85
[root@yuji ~]# top -b -n 1 |awk -F, '/Cpu/{print $4}' |awk '{print int($1)"%"}'
86%
指定输出时的列分隔符
FS 输入时的列分隔符。
OFS 输出内容的列分隔符。($1=$1用于激活,否则不生效)
[root@yuji ~]# echo "A B C D"
A B C D
[root@yuji ~]# echo "A B C D" | tr " " "|"
A|B|C|D
[root@yuji ~]# echo "A B C D" | sed 's/ /|/g'
A|B|C|D
[root@yuji ~]# echo "A B C D" |awk 'BEGIN{OFS="|"};{$1=$1;print $0}'
A|B|C|D
使用awk去重(awk数组特性)
在awk中可以定义数组,数组元素的下标值可以是字符串(要加双引号),元素值如果是字符串也要加引号。
1、定义数组。
[root@yuji ~]# awk 'BEGIN{a[0]=10 ;a[1]=20; print a[0]}'
10
[root@yuji ~]# awk 'BEGIN{a[0]=10 ;a[1]=20; print a[1]}'
20
[root@yuji ~]# awk 'BEGIN{a["abc"]=10 ;a["xyz"]=20; print a["abc"]}'
10
打印数组内的所有元素值及对应下标值。
[root@yuji ~]# awk 'BEGIN{a[0]=10;a[1]=20;a[2]=30; for(i in a){print i,a[i]}}'
0 10
1 20
2 30、打印出文件中重复的行,以及重复次数
[root@yuji ~]# cat test.txt
aaa
aaa
bbb
ccc
aaa
bbb
aaa
[root@yuji ~]# awk '{a[1]++; print a[1]}' test.txt
1
2
3
4
5
6
7
[root@yuji ~]# awk '{a[$1]++};END{for(i in a){print i,a[i]}}' test.txt
aaa 4
ccc 1
bbb 2
案例
通过分析日志 /var/log/secure 查看哪些主机在暴力破解本机服务,如果统计出密码验证失败超过三次(不考虑连续性),就把IP加入到黑名单中 /etc/hosts.deny
#过滤出包含“Failed password”的行,打印第11个字段,且按照数字排序
[root@yuji ~]# awk '/Failed password/{print $11}' /var/log/secure |sort -n
192.168.72.10
192.168.72.10
192.168.72.10
192.168.72.10
192.168.72.192
192.168.72.192
192.168.72.192
#统计重复行出现的次数
[root@yuji ~]# awk '/Failed password/{print $11}' /var/log/secure |sort -n |uniq -c
4 192.168.72.10
3 192.168.72.192
#判断重复的次数如果大于3次,则在IP前加上"sshd:",并将其追加进/etc/hosts.deny文件中
[root@yuji ~]# awk '/Failed password/{print $11}' /var/log/secure |sort -n |uniq -c| awk '$1>3 {print "sshd:"$2}' >>/etc/hosts.deny
#查看etc/hosts.deny文件
[root@yuji ~]# cat /etc/hosts.deny
#
# hosts.deny This file contains access rules which are used to
# deny connections to network services that either use
# the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# The rules in this file can also be set up in
# /etc/hosts.allow with a 'deny' option instead.
#
# See 'man 5 hosts_options' and 'man 5 hosts_access'
# for information on rule syntax.
# See 'man tcpd' for information on tcp_wrappers
#
sshd:192.168.72.10
[root@yuji ~]# awk '/Failed password/{a[$11]++};END{for(i in a){print i,a[i]}}' /var/log/secure
192.168.72.10 4
192.168.72.192 3