LabEx
LoginBeitreten

Linux awk-Befehl: Textverarbeitung

LinuxBeginner
Jetzt üben

Einführung

Willkommen in der Welt der Textverarbeitung mit AWK. In diesem Lab lernen Sie, wie Sie den awk-Befehl zur Analyse von Protokolldateien (Logfiles) verwenden – eine alltägliche Aufgabe für Systemadministratoren und Datenanalysten. AWK ist ein mächtiges Werkzeug zur Verarbeitung strukturierter Textdaten unter Linux, mit dem Sie Informationen effizient extrahieren, filtern und transformieren können.

Stellen Sie sich vor, Sie sind ein Junior-Systemadministrator und haben die Aufgabe, Server-Logs zu analysieren, um potenzielle Sicherheitsbedrohungen und Leistungsprobleme zu identifizieren. Der awk-Befehl wird dabei Ihr wichtigstes Werkzeug sein, um schnell große Protokolldateien zu durchsuchen und aussagekräftige Erkenntnisse zu gewinnen.

Untersuchung der Protokolldatei

Beginnen wir damit, den Inhalt unserer Beispiel-Protokolldatei zu untersuchen. Diese Datei enthält simulierte Server-Zugriffsprotokolle, die wir im Laufe dieses Labs analysieren werden.

Navigieren Sie zunächst in das Projektverzeichnis:

cd ~/project

Lassen Sie uns nun die ersten Zeilen der Protokolldatei anzeigen:

head -n 5 server_logs.txt

Sie sollten eine Ausgabe ähnlich dieser sehen:

2023-08-01 08:15:23 192.168.1.100 GET /index.html 200
2023-08-01 08:16:45 192.168.1.101 GET /about.html 200
2023-08-01 08:17:30 192.168.1.102 POST /login.php 302
2023-08-01 08:18:12 192.168.1.103 GET /products.html 404
2023-08-01 08:19:05 192.168.1.104 GET /services.html 200

Diese Protokolldatei enthält Informationen über Serveranfragen, einschließlich Datum und Uhrzeit, IP-Adresse, HTTP-Methode, angeforderte Ressource und Statuscode.

Grundlegende AWK-Nutzung - Extrahieren spezifischer Felder

Nachdem wir die Struktur unserer Protokolldatei gesehen haben, nutzen wir AWK, um spezifische Informationen zu extrahieren. Standardmäßig unterteilt AWK jede Zeile basierend auf Leerzeichen in Felder. Wir können auf diese Felder mit $1, $2 usw. zugreifen, wobei $1 das erste Feld, $2 das zweite Feld usw. ist.

Extrahieren wir die IP-Adressen (das dritte Feld) aus unserer Protokolldatei:

awk '{print $3}' server_logs.txt | head -n 5

Sie sollten eine Ausgabe ähnlich dieser sehen:

192.168.1.100
192.168.1.101
192.168.1.102
192.168.1.103
192.168.1.104

In diesem Befehl:

  • weist awk '{print $3}' AWK an, das dritte Feld jeder Zeile auszugeben.
  • leiten wir (|) die Ausgabe an head -n 5 weiter, um die Anzeige auf die ersten 5 Zeilen zu begrenzen.

Lassen Sie uns nun sowohl die IP-Adresse als auch die angeforderte Ressource ausgeben:

awk '{print $3, $5}' server_logs.txt | head -n 5

Ausgabe:

192.168.1.100 /index.html
192.168.1.101 /about.html
192.168.1.102 /login.php
192.168.1.103 /products.html
192.168.1.104 /services.html

Hier geben wir für jede Zeile das dritte Feld (IP-Adresse) und das fünfte Feld (angeforderte Ressource) aus.

Filtern von Protokolleinträgen

Eine der Stärken von AWK ist die Fähigkeit, Daten basierend auf Bedingungen zu filtern. Nutzen wir diese Funktion, um alle POST-Anfragen in unserer Protokolldatei zu finden, da diese sicherheitsrelevanter sein könnten als GET-Anfragen.

Führen Sie den folgenden Befehl aus:

awk '$4 == "POST" {print $0}' server_logs.txt

Dieser Befehl gibt möglicherweise Hunderte von Zeilen aus, da die Beispieldatei 5.000 Protokolleinträge enthält. Wenn Sie während des Lernens nur eine überschaubare Stichprobe prüfen möchten, fügen Sie | head -n 10 hinzu:

awk '$4 == "POST" {print $0}' server_logs.txt | head -n 10

Die Überprüfung akzeptiert auch den einfachen awk-Befehl; verwenden Sie also die Version, mit der Sie die Ausgabe besser lesen können.

Lassen Sie uns die Syntax dieses Befehls aufschlüsseln, um zu verstehen, wie die AWK-Filterung funktioniert:

  1. $4 == "POST" - Dies ist ein Muster oder eine Bedingung, die AWK für jede Zeile auswertet:

    • $4 bezieht sich auf das vierte Feld in der aktuellen Zeile (in unserer Protokolldatei ist dies die HTTP-Methode)
    • == ist der Gleichheitsoperator, der prüft, ob zwei Werte gleich sind
    • "POST" ist die Zeichenkette, mit der wir vergleichen

  2. {print $0} - Dies ist die Aktion, die AWK ausführt, wenn die Bedingung wahr ist:

    • Die geschweiften Klammern {} umschließen die Aktion
    • print ist der Befehl zur Textausgabe
    • $0 repräsentiert die gesamte aktuelle Zeile (alle Felder)

Die Befehlsstruktur folgt dem AWK-Muster: Bedingung {Aktion}. AWK liest jede Zeile, und wenn die Bedingung wahr ist, führt es die Aktion aus. Wenn keine Bedingung angegeben ist (wie in unseren früheren Beispielen), wird die Aktion für jede Zeile ausgeführt.

Sie sollten eine Ausgabe ähnlich dieser sehen:

2023-08-01 08:17:30 192.168.1.102 POST /login.php 302
2023-08-01 09:23:45 192.168.1.110 POST /submit_form.php 200
2023-08-01 10:45:12 192.168.1.115 POST /upload.php 500

Lassen Sie uns nun alle Anfragen finden, die zu einem 404-Status (Not Found) geführt haben:

awk '$6 == "404" {print $1, $2, $5}' server_logs.txt

Dieser Befehl folgt dem gleichen Muster, jedoch mit anderen Werten:

  • Die Bedingung $6 == "404" prüft, ob das sechste Feld (Statuscode) gleich 404 ist
  • Die Aktion {print $1, $2, $5} gibt nur spezifische Felder aus:
    • $1 - Erstes Feld (Datum)
    • $2 - Zweites Feld (Uhrzeit)
    • $5 - Fünftes Feld (angeforderte Ressource)

Diese selektive Ausgabe ermöglicht es Ihnen, sich nur auf die Informationen zu konzentrieren, die Sie benötigen.

Ausgabe:

2023-08-01 08:18:12 /products.html
2023-08-01 09:30:18 /nonexistent.html
2023-08-01 11:05:30 /missing_page.html

Sie können mehrere Bedingungen mit logischen Operatoren kombinieren:

  • && für UND (beide Bedingungen müssen wahr sein)
  • || für ODER (mindestens eine Bedingung muss wahr sein)
  • ! für NICHT (negierte Bedingung)

Zum Beispiel, um alle POST-Anfragen zu finden, die zu einem Fehler geführt haben (Statuscode >= 400):

awk '$4 == "POST" && $6 >= 400 {print $0}' server_logs.txt

Diese Filter helfen Ihnen dabei, potenzielle Probleme oder verdächtige Aktivitäten in Ihren Server-Logs schnell zu identifizieren.

Zählen und Zusammenfassen von Daten

AWK eignet sich hervorragend zum Zählen von Vorkommen und zum Zusammenfassen von Daten. Lassen Sie uns damit die Anzahl der Anfragen für jeden HTTP-Statuscode zählen.

Führen Sie diesen Befehl aus:

awk '{count[$6]++} END {for (code in count) print code, count[code]}' server_logs.txt | sort -n

Dieser Befehl ist komplexer, daher lassen Sie uns ihn Schritt für Schritt aufschlüsseln:

  1. {count[$6]++} - Dies ist die Hauptaktion, die für jede Zeile ausgeführt wird:

    • count ist ein Array (assoziatives Array oder Dictionary), das wir erstellen
    • [$6] verwendet den Wert des 6. Feldes (Statuscode) als Array-Index/Schlüssel
    • ++ ist der Inkrement-Operator, der den aktuellen Wert um 1 erhöht
    • Für jede Zeile erhöhen wir also den Zähler für den gefundenen Statuscode

  2. END {for (code in count) print code, count[code]} - Dies wird nach der Verarbeitung aller Zeilen ausgeführt:

    • END ist ein spezielles Muster, das das Ende der Eingabe markiert
    • {...} enthält die Aktion, die nach der Verarbeitung aller Eingaben ausgeführt werden soll
    • for (code in count) ist eine Schleife, die über alle Schlüssel im count-Array iteriert
    • print code, count[code] gibt jeden Statuscode und seine Anzahl aus

  3. | sort -n - Leitet die Ausgabe an den sort-Befehl weiter, der numerisch sortiert

Wenn AWK ein Array wie count[$6]++ verarbeitet, geschieht automatisch Folgendes:

  • Das Array wird erstellt, falls es noch nicht existiert
  • Ein neues Element mit dem Wert 0 wird erstellt, falls der Schlüssel noch nicht existiert
  • Dann wird der Wert um 1 erhöht

Sie sollten eine Ausgabe ähnlich dieser sehen:

200 3562
301 45
302 78
304 112
400 23
403 8
404 89
500 15

Diese Zusammenfassung zeigt Ihnen schnell die Verteilung der Statuscodes in Ihrer Protokolldatei.

Lassen Sie uns nun die 5 am häufigsten aufgerufenen Ressourcen finden:

awk '{count[$5]++} END {for (resource in count) print count[resource], resource}' server_logs.txt | sort -rn | head -n 5

Dieser Befehl folgt einem ähnlichen Muster mit einigen Änderungen:

  1. {count[$5]++} - Zählt das Vorkommen des 5. Feldes (die angeforderte Ressource)
  2. END {for (resource in count) print count[resource], resource} - Nach der Verarbeitung aller Zeilen:
    • Gibt zuerst die Anzahl aus, gefolgt von der Ressource
    • Diese Änderung der Reihenfolge erleichtert die numerische Sortierung nach Anzahl
  3. | sort -rn - Sortiert numerisch in umgekehrter Reihenfolge (höchste Anzahl zuerst)
  4. | head -n 5 - Begrenzt die Ausgabe auf die ersten 5 Zeilen (Top 5 Ergebnisse)

Ausgabe:

1823 /index.html
956 /about.html
743 /products.html
512 /services.html
298 /contact.html

Diese AWK-Befehle demonstrieren die Leistungsfähigkeit von Arrays zum Zählen und Zusammenfassen. Sie können dieses Muster anpassen, um jedes Feld oder jede Kombination von Feldern in Ihren Daten zu zählen.

Zum Beispiel, um die Anzahl der Anfragen pro IP-Adresse zu zählen:

awk '{count[$3]++} END {for (ip in count) print ip, count[ip]}' server_logs.txt

Um Anfragen sowohl nach Methode als auch nach Status zu zählen:

awk '{key=$4"-"$6; count[key]++} END {for (k in count) print k, count[k]}' server_logs.txt

Diese Zusammenfassungen helfen Ihnen, Verkehrsmuster zu verstehen und beliebte (oder problematische) Ressourcen auf Ihrem Server zu identifizieren.

Erstellen eines einfachen Berichts

Für unsere letzte Aufgabe erstellen wir einen einfachen HTML-Bericht, der einige wichtige Informationen aus unserer Protokolldatei zusammenfasst. Wir verwenden dafür ein AWK-Skript, das in einer separaten Datei gespeichert ist.

Dieser Schritt kombiniert mehrere AWK-Konzepte aus den vorherigen Abschnitten:

  • Zähler wie total++
  • Arrays wie ip_count[$3]++
  • einen END-Block, der die endgültige Zusammenfassung ausgibt

Wenn das Skript auf den ersten Blick lang erscheint, konzentrieren Sie sich auf einen Block nach dem anderen. Sie müssen nicht die gesamte Datei auswendig lernen, bevor Sie sie ausführen.

Erstellen Sie zunächst eine Datei namens log_report.awk mit folgendem Inhalt:

Tipps: Kopieren Sie den untenstehenden Inhalt und fügen Sie ihn in Ihr Terminal ein, um die Datei zu erstellen.

cat << 'EOF' > log_report.awk
BEGIN {
    print "<html><body>"
    print "<h1>Server Log Summary</h1>"
    total = 0
    errors = 0
}

{
    total++
    if ($6 >= 400) errors++
    ip_count[$3]++
    resource_count[$5]++
}

END {
    print "<p>Total requests: " total "</p>"
    print "<p>Error rate: " (errors/total) * 100 "%</p>"
    
    print "<h2>Top 5 IP Addresses</h2>"
    print "<ul>"
    for (ip in ip_count) {
        top_ips[ip] = ip_count[ip]
    }
    n = asort(top_ips, sorted_ips, "@val_num_desc")
    for (i = 1; i <= 5 && i <= n; i++) {
        for (ip in ip_count) {
            if (ip_count[ip] == sorted_ips[i]) {
                print "<li>" ip ": " ip_count[ip] " requests</li>"
                break
            }
        }
    }
    print "</ul>"
    
    print "<h2>Top 5 Requested Resources</h2>"
    print "<ul>"
    for (resource in resource_count) {
        top_resources[resource] = resource_count[resource]
    }
    n = asort(top_resources, sorted_resources, "@val_num_desc")
    for (i = 1; i <= 5 && i <= n; i++) {
        for (resource in resource_count) {
            if (resource_count[resource] == sorted_resources[i]) {
                print "<li>" resource ": " resource_count[resource] " requests</li>"
                break
            }
        }
    }
    print "</ul>"
    
    print "</body></html>"
}
EOF

Lassen Sie uns dieses AWK-Skript Abschnitt für Abschnitt verstehen:

  1. BEGIN-Block: Wird vor der Verarbeitung von Eingabezeilen ausgeführt

    BEGIN {
    print "<html><body>"  ## HTML-Struktur starten
    print "<h1>Server Log Summary</h1>"
    total = 0  ## Zähler für Gesamtanfragen initialisieren
    errors = 0  ## Zähler für fehlerhafte Anfragen initialisieren
}

  2. Hauptverarbeitungsblock: Wird für jede Zeile der Eingabedatei ausgeführt

    {
    total++  ## Gesamtanfragen-Zähler erhöhen
    if ($6 >= 400) errors++  ## Fehlerhafte Antworten zählen (Statuscodes >= 400)
    ip_count[$3]++  ## Anfragen nach IP-Adresse zählen (Feld 3)
    resource_count[$5]++  ## Anfragen nach Ressource zählen (Feld 5)
}

  3. END-Block: Wird nach der Verarbeitung aller Eingabezeilen ausgeführt

    END {
    ## Zusammenfassende Statistiken ausgeben
    print "<p>Total requests: " total "</p>"
    print "<p>Error rate: " (errors/total) * 100 "%</p>"

    ## Top 5 IP-Adressen verarbeiten und ausgeben
    ## ...

    ## Top 5 angeforderte Ressourcen verarbeiten und ausgeben
    ## ...

    print "</body></html>"  ## HTML-Struktur beenden
}

Bevor wir fortfahren, beachten Sie den allgemeinen Ablauf:

  1. BEGIN gibt die öffnenden HTML-Tags aus und initialisiert die Zähler.
  2. Der mittlere Block verarbeitet jede Protokollzeile und aktualisiert die Summen.
  3. END gibt den endgültigen Bericht aus, nachdem jede Zeile analysiert wurde.

Lassen Sie uns die Sortierlogik für die Top-IPs untersuchen (der Ressourcen-Abschnitt funktioniert genauso):

## Die Zähler zur Sortierung in ein neues Array kopieren
for (ip in ip_count) {
    top_ips[ip] = ip_count[ip]
}

## Das Array nach Wert in absteigender Reihenfolge sortieren
n = asort(top_ips, sorted_ips, "@val_num_desc")

## Die Top 5 Einträge ausgeben
for (i = 1; i <= 5 && i <= n; i++) {
    ## Die ursprüngliche IP finden, die zu dieser Anzahl passt
    for (ip in ip_count) {
        if (ip_count[ip] == sorted_ips[i]) {
            print "<li>" ip ": " ip_count[ip] " requests</li>"
            break
        }
    }
}

In diesem Skript:

  • sortiert die Funktion asort() das Array
  • ist "@val_num_desc" ein spezielles Argument, das anweist, numerisch nach Wert in absteigender Reihenfolge zu sortieren
  • finden die verschachtelten Schleifen die Top 5 Einträge und geben sie aus

Sie können sich die verschachtelten Schleifen so vorstellen:

  • die erste Schleife entscheidet, welche Zähler zu den Top 5 gehören
  • die zweite Schleife findet heraus, welche IP-Adresse oder Ressource die jeweilige Anzahl erzeugt hat

Dieses Suchmuster ist fortgeschrittener als die vorherigen Schritte; es ist also völlig normal, wenn sich dies als der erste Teil des Labs anfühlt, der echtes Scripting statt eines Einzeilers ist.

Lassen Sie uns nun unser AWK-Skript ausführen, um den Bericht zu generieren:

awk -f log_report.awk server_logs.txt > log_report.html

Die Option -f weist AWK an, das Skript aus der angegebenen Datei zu lesen:

  • -f log_report.awk - Liest das AWK-Skript aus der Datei log_report.awk
  • server_logs.txt - Verarbeitet diese Datei mit dem Skript
  • > log_report.html - Leitet die Ausgabe in die Datei log_report.html um

Sie können den Inhalt des Berichts mit dem cat-Befehl anzeigen:

cat log_report.html

Wenn die HTML-Ausgabe im Terminal schwer zu lesen ist, sehen Sie sich zuerst nur den ersten Teil an:

head -n 15 log_report.html

Dieser Bericht bietet eine Zusammenfassung der Gesamtanfragen, der Fehlerrate, der Top 5 IP-Adressen und der Top 5 angeforderten Ressourcen. In einem realen Szenario könnten Sie diese HTML-Datei in einem Webbrowser öffnen, um eine formatierte Ansicht zu erhalten.

Der Ansatz, den wir in diesem Skript verwendet haben, zeigt, wie AWK für komplexere Datenanalyseaufgaben eingesetzt werden kann. Sie können dieses Skript erweitern, um zusätzliche Statistiken oder andere Visualisierungen basierend auf Ihren spezifischen Anforderungen einzufügen.

Zusammenfassung

Herzlichen Glückwunsch! Sie haben dieses Lab zur Verwendung des AWK-Befehls für die Protokollanalyse abgeschlossen. Lassen Sie uns zusammenfassen, was Sie gelernt haben:

  1. Grundlegende AWK-Nutzung: Extrahieren spezifischer Felder aus einer strukturierten Textdatei.
  2. Filtern von Daten: Verwendung von Bedingungen in AWK zur Auswahl spezifischer Protokolleinträge.
  3. Zählen und Zusammenfassen: Verwendung von AWK zur Generierung von Statistiken aus Protokolldaten.
  4. Erstellen von Berichten: Schreiben komplexerer AWK-Skripte zur Generierung formatierter Berichte.

Diese Fähigkeiten sind von unschätzbarem Wert für die Analyse von Protokolldateien, die Datenverarbeitung und die Erstellung von Berichten in Ihrer zukünftigen Arbeit als Systemadministrator oder Datenanalyst.

Hier sind einige zusätzliche AWK-Parameter und Funktionen, die wir in diesem Lab nicht behandelt haben:

  • -F: Gibt ein anderes Feldtrennzeichen als Leerzeichen an.
  • -v: Weist einer Variablen einen Wert zu.
  • NR: Eine eingebaute Variable, die die aktuelle Datensatznummer repräsentiert.
  • NF: Eine eingebaute Variable, die die Anzahl der Felder im aktuellen Datensatz repräsentiert.
  • BEGIN- und END-Blöcke: Spezielle Muster für Initialisierung und Finalisierung.
  • Eingebaute Funktionen: Mathematische Funktionen, Zeichenkettenfunktionen und mehr.

Denken Sie daran: Übung ist der Schlüssel zur Beherrschung von AWK. Versuchen Sie, die Befehle und Skripte aus diesem Lab zu modifizieren, um andere Aspekte der Protokolldatei zu analysieren oder andere Arten von strukturierten Textdaten zu verarbeiten.

Ressourcen

Verwandt Linux Kurse
Schnellstart mit Linux

Schnellstart mit Linux

linux
Junior Systemadministrator werden

Junior Systemadministrator werden

linuxshell
Linux für Anfänger

Linux für Anfänger

linux