写了一个分析tomcat访问日志的脚本,如有偏颇,大神!请斧正。
日志示例:
该日志的输出格式,是可以自己设置的,在tomcat的server.xml中,如下:
pattern参数
普通参数:
%a - 远程IP地址
%A - 本地IP地址
%b - 发送的字节数,不包括HTTP头,或“ - ”如果没有发送字节
%B - 发送的字节数,不包括HTTP头
%h - 远程主机名
%H - 请求协议
%l (小写的L)- 远程逻辑从identd的用户名(总是返回' - ')
%m - 请求方法
%p - 本地端口
%q - 查询字符串(在前面加上一个“?”如果它存在,否则是一个空字符串
%r - 第一行的要求
%s - 响应的HTTP状态代码
%S - 用户会话ID
%t - 日期和时间,在通用日志格式
%u - 远程用户身份验证
%U - 请求的URL路径
%v - 本地服务器名
%D - 处理请求的时间(以毫秒为单位)
%T - 处理请求的时间(以秒为单位)
%I (大写的i) - 当前请求的线程名称
高级参数:
%{XXX}i xxx代表传入的头(HTTP Request)
%{XXX}o xxx代表传出的响应头(Http Resonse)
%{XXX}c xxx代表特定的Cookie名
%{XXX}r xxx代表ServletRequest属性名
%{XXX}s xxx代表HttpSession中的属性名
shell脚本:
#!/bin/bash
time=$(date "+%Y-%m-%d");
time2=$(date "+%Y-%m-%d-%H-%M-%s");
filename=localhost_access_log."$time".txt;
echo '当前日期:'$time;
echo '文件名:'$filename;
i=0;#循环变量
#创建日志目录
if [ ! -d "$(pwd)/exceptionrequest" ]; then
mkdir $(pwd)/exceptionrequest;
fi
if [ ! -d "$(pwd)/normalrequest" ]; then
mkdir $(pwd)/normalrequest;
fi
if [ ! -d "$(pwd)/exceptionrequestanalysis" ]; then
mkdir $(pwd)/exceptionrequestanalysis;
fi
if [ ! -d "$(pwd)/exceptionrequestip" ]; then
mkdir $(pwd)/exceptionrequestip;
fi
#判断当日的访问日志是否存在以及内容分是否为空
if test -s $filename
then
while read line
do
echo $line>>cop_localhost_accsse_$time2.txt;
done<$filename;
:>$filename;
grep -v "项目名\| / HTTP\|favicon.ico" cop_localhost_accsse_$time2.txt>>$(pwd)/exceptionrequest/exceptionrequest_$time2.txt;
grep "项目名\| / HTTP\|favicon.ico" cop_localhost_accsse_$time2.txt>>$(pwd)/normalrequest/normalrequest_$time2.txt;
if test -s "$(pwd)/exceptionrequest/exceptionrequest_$time2.txt";then
while read line
do
echo '-------------------------------------------------------'>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt
for line2 in $line
do
if [ $i == 0 ]; then
echo '访问IP:'$line2>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt
#echo $line2>>mylog_$time2.txt
if test -s "$(pwd)/exceptionrequestip/ip_$time2.txt";then
#去重
if ! grep -q "$line2" $(pwd)/exceptionrequestip/ip_$time2.txt;then
echo $line2>>$(pwd)/exceptionrequestip/ip_$time2.txt
fi
else
echo $line2>>$(pwd)/exceptionrequestip/ip_$time2.txt
fi
elif [ $i == 3 ]; then
echo '访问时间:'${line2:1}>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt
elif [ $i == 5 ];then
echo '请求方式:'${line2:1}>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt
elif [ $i == 6 ];then
echo '请求内容:'$line2>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt
elif [ $i == 7 ];then
echo '协议:'${line2%\"*}>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt
elif [ $i == 8 ];then
echo '状态码:'$line2>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt
fi;
((i++));
done;
i=0;
done<$(pwd)/exceptionrequest/exceptionrequest_$time2.txt;
else
echo '当次分析无异常请求'>>$(pwd)/exceptionrequest/exceptionrequest_$time2.txt
fi
if test -s "$(pwd)/exceptionrequestip/ip_$time2.txt";then
while read line4
do
#echo $line4;
iptables -I INPUT -s $line4 -j DROP;
done<$(pwd)/exceptionrequestip/ip_$time2.txt
else
echo '当次分析无异常请求的IP'>>$(pwd)/exceptionrequestip/ip_$time2.txt;
fi
echo $time2-'日志分析完成'>>loganalysis.log;
else
echo $time2-'暂无访问日志'>>loganalysis.log;
fi
使用:
1、脚本放在tomcat/log目录中,用crontab设置为定时脚本,每隔一段时间执行一次(时间段自定);
2、异常分析:用以下语句进行分析
grep -v "项目名\| / HTTP\|favicon.ico" filename------>可自行重新设定
3、脚本日志产出:
每执行一次,都会有日志产出,日志及说明( 下文中 $(pwd):脚本所在目录,下文中$time2:脚本当次执行时的日期与时间 ):
$(pwd)/exceptionrequest/exceptionrequest_$time2.txt:异常请求(若当次分析无异常请求,则日志内容为“当次分析无异常请求”否则为异常请求的访问日志)
$(pwd)/normalrequest/normalrequest_$time2.txt;:正常请求
$(pwd)/exceptionrequestanalysis/analysis_$time2.txt:异常请求分析日志(若无异常请求则无该文件)
$(pwd)/exceptionrequestip/ip_$time2.txt:异常请求IP(若当次分析无异常请求,则日志内容为“当次分析无异常请求的IP”否则为异常请求的IP)
loganalysis.log:该文件位于脚本所在目录,是脚本执行结果(内容为$time2-'日志分析完成' 或 $time2-'暂无访问日志')
cop_localhost_accsse_$time2.txt:该文件位于脚本所在目录,是每次分析的访问日志的备份
4、注意:
执行完后,tomcat访问日志被清空,以防下次分析重复的日志,若需要历史访问日志请翻阅备份cop_localhost_accsse_$time2.txt
脚本中禁止ip访问所用语句为: iptables -I INPUT -s "IP" -j DROP; 如有必要可自行改动