LabEx
LoginBeitreten

Linux awk-Befehl: Textverarbeitung

LinuxBeginner
Jetzt üben

Einführung

Willkommen in der Welt der Textverarbeitung mit AWK. In diesem Lab lernen Sie, wie Sie den awk-Befehl zur Analyse von Protokolldateien (Logfiles) verwenden – eine alltägliche Aufgabe für Systemadministratoren und Datenanalysten. AWK ist ein mächtiges Werkzeug zur Verarbeitung strukturierter Textdaten unter Linux, mit dem Sie Informationen effizient extrahieren, filtern und transformieren können.

Stellen Sie sich vor, Sie sind ein Junior-Systemadministrator und haben die Aufgabe, Server-Logs zu analysieren, um potenzielle Sicherheitsbedrohungen und Leistungsprobleme zu identifizieren. Der awk-Befehl wird dabei Ihr wichtigstes Werkzeug sein, um schnell große Protokolldateien zu durchsuchen und aussagekräftige Erkenntnisse zu gewinnen.

Untersuchung der Protokolldatei

Beginnen wir damit, den Inhalt unserer Beispiel-Protokolldatei zu untersuchen. Diese Datei enthält simulierte Server-Zugriffsprotokolle, die wir im Laufe dieses Labs analysieren werden.

Navigieren Sie zunächst in das Projektverzeichnis:

cd ~/project

Lassen Sie uns nun die ersten Zeilen der Protokolldatei anzeigen:

head -n 5 server_logs.txt

Sie sollten eine Ausgabe sehen, die in etwa so aussieht:

2023-08-01 08:15:23 192.168.1.100 GET /index.html 200
2023-08-01 08:16:45 192.168.1.101 GET /about.html 200
2023-08-01 08:17:30 192.168.1.102 POST /login.php 302
2023-08-01 08:18:12 192.168.1.103 GET /products.html 404
2023-08-01 08:19:05 192.168.1.104 GET /services.html 200

Diese Protokolldatei enthält Informationen über Serveranfragen, einschließlich Datum und Uhrzeit, IP-Adresse, HTTP-Methode, angeforderte Ressource und Statuscode.

Grundlegende AWK-Nutzung - Drucken spezifischer Felder

Nachdem wir die Struktur unserer Protokolldatei gesehen haben, verwenden wir AWK, um spezifische Informationen zu extrahieren. Standardmäßig unterteilt AWK jede Zeile basierend auf Leerzeichen in Felder. Wir können auf diese Felder mit $1, $2 usw. zugreifen, wobei $1 das erste Feld, $2 das zweite usw. ist.

Extrahieren wir die IP-Adressen (das dritte Feld) aus unserer Protokolldatei:

awk '{print $3}' server_logs.txt | head -n 5

Sie sollten eine Ausgabe sehen, die in etwa so aussieht:

192.168.1.100
192.168.1.101
192.168.1.102
192.168.1.103
192.168.1.104

In diesem Befehl:

  • weist awk '{print $3}' AWK an, das dritte Feld jeder Zeile auszugeben.
  • leiten wir (|) die Ausgabe an head -n 5 weiter, um die Anzeige auf die ersten 5 Zeilen zu begrenzen.

Drucken wir nun sowohl die IP-Adresse als auch die angeforderte Ressource aus:

awk '{print $3, $5}' server_logs.txt | head -n 5

Ausgabe:

192.168.1.100 /index.html
192.168.1.101 /about.html
192.168.1.102 /login.php
192.168.1.103 /products.html
192.168.1.104 /services.html

Hier drucken wir das dritte Feld (IP-Adresse) und das fünfte Feld (angeforderte Ressource) für jede Zeile aus.

Filtern von Protokolleinträgen

Eine der Stärken von AWK ist die Fähigkeit, Daten basierend auf Bedingungen zu filtern. Nutzen wir diese Funktion, um alle POST-Anfragen in unserer Protokolldatei zu finden, da diese sicherheitsrelevanter sein könnten als GET-Anfragen.

Führen Sie den folgenden Befehl aus:

awk '$4 == "POST" {print $0}' server_logs.txt

Dieser Befehl druckt möglicherweise Hunderte von Zeilen, da die Beispieldatei 5.000 Protokolleinträge enthält. Wenn Sie während des Lernens nur eine überschaubare Stichprobe prüfen möchten, fügen Sie | head -n 10 hinzu:

awk '$4 == "POST" {print $0}' server_logs.txt | head -n 10

Die Überprüfung akzeptiert auch den einfachen awk-Befehl, verwenden Sie also die Version, mit der Sie die Ausgabe besser lesen können.

Lassen Sie uns die Syntax dieses Befehls aufschlüsseln, um zu verstehen, wie die AWK-Filterung funktioniert:

  1. $4 == "POST" - Dies ist ein Muster oder eine Bedingung, die AWK für jede Zeile auswertet:

    • $4 bezieht sich auf das vierte Feld in der aktuellen Zeile (in unserer Protokolldatei ist dies die HTTP-Methode)
    • == ist der Gleichheitsoperator, der prüft, ob zwei Werte gleich sind
    • "POST" ist die Zeichenfolge, mit der wir vergleichen

  2. {print $0} - Dies ist die Aktion, die AWK ausführt, wenn die Bedingung wahr ist:

    • Die geschweiften Klammern {} umschließen die Aktion
    • print ist der Befehl zur Textausgabe
    • $0 repräsentiert die gesamte aktuelle Zeile (alle Felder)

Die Befehlsstruktur folgt dem AWK-Muster: Bedingung {Aktion}. AWK liest jede Zeile, und wenn die Bedingung wahr ist, führt es die Aktion aus. Wenn keine Bedingung angegeben ist (wie in unseren früheren Beispielen), wird die Aktion für jede Zeile ausgeführt.

Sie sollten eine Ausgabe sehen, die in etwa so aussieht:

2023-08-01 08:17:30 192.168.1.102 POST /login.php 302
2023-08-01 09:23:45 192.168.1.110 POST /submit_form.php 200
2023-08-01 10:45:12 192.168.1.115 POST /upload.php 500

Suchen wir nun alle Anfragen, die zu einem 404 (Not Found) Status geführt haben:

awk '$6 == "404" {print $1, $2, $5}' server_logs.txt

Dieser Befehl folgt dem gleichen Muster, jedoch mit anderen Werten:

  • Die Bedingung $6 == "404" prüft, ob das sechste Feld (Statuscode) gleich 404 ist
  • Die Aktion {print $1, $2, $5} druckt nur bestimmte Felder:
    • $1 - Erstes Feld (Datum)
    • $2 - Zweites Feld (Zeit)
    • $5 - Fünftes Feld (angeforderte Ressource)

Dieses selektive Drucken ermöglicht es Ihnen, sich nur auf die Informationen zu konzentrieren, die Sie benötigen.

Ausgabe:

2023-08-01 08:18:12 /products.html
2023-08-01 09:30:18 /nonexistent.html
2023-08-01 11:05:30 /missing_page.html

Sie können mehrere Bedingungen mit logischen Operatoren kombinieren:

  • && für UND (beide Bedingungen müssen wahr sein)
  • || für ODER (mindestens eine Bedingung muss wahr sein)
  • ! für NICHT (negierte eine Bedingung)

Zum Beispiel, um alle POST-Anfragen zu finden, die zu einem Fehler geführt haben (Statuscode >= 400):

awk '$4 == "POST" && $6 >= 400 {print $0}' server_logs.txt

Diese Filter können Ihnen helfen, potenzielle Probleme oder verdächtige Aktivitäten in Ihren Server-Logs schnell zu identifizieren.

Zählen und Zusammenfassen von Daten

AWK eignet sich hervorragend zum Zählen von Vorkommen und zum Zusammenfassen von Daten. Verwenden wir es, um die Anzahl der Anfragen für jeden HTTP-Statuscode zu zählen.

Führen Sie diesen Befehl aus:

awk '{count[$6]++} END {for (code in count) print code, count[code]}' server_logs.txt | sort -n

Dieser Befehl ist komplexer, also lassen Sie uns ihn Schritt für Schritt aufschlüsseln:

  1. {count[$6]++} - Dies ist die Hauptaktion, die für jede Zeile ausgeführt wird:

    • count ist ein Array (assoziatives Array oder Dictionary), das wir erstellen
    • [$6] verwendet den Wert des 6. Feldes (Statuscode) als Array-Index/Schlüssel
    • ++ ist der Inkrement-Operator, der den aktuellen Wert um 1 erhöht
    • Für jede Zeile erhöhen wir also den Zähler für den gefundenen Statuscode

  2. END {for (code in count) print code, count[code]} - Dies wird nach der Verarbeitung aller Zeilen ausgeführt:

    • END ist ein spezielles Muster, das das Ende der Eingabe abgleicht
    • {...} enthält die Aktion, die nach der Verarbeitung aller Eingaben ausgeführt werden soll
    • for (code in count) ist eine Schleife, die alle Schlüssel im count-Array durchläuft
    • print code, count[code] druckt jeden Statuscode und seine Anzahl

  3. | sort -n - Leitet die Ausgabe an den sort-Befehl weiter, der numerisch sortiert

Wenn AWK ein Array wie count[$6]++ verarbeitet, geschieht automatisch Folgendes:

  • Das Array wird erstellt, falls es noch nicht existiert
  • Ein neues Element mit dem Wert 0 wird erstellt, falls der Schlüssel nicht existiert
  • Dann wird der Wert um 1 erhöht

Sie sollten eine Ausgabe sehen, die in etwa so aussieht:

200 3562
301 45
302 78
304 112
400 23
403 8
404 89
500 15

Diese Zusammenfassung zeigt Ihnen schnell die Verteilung der Statuscodes in Ihrer Protokolldatei.

Lassen Sie uns nun die 5 am häufigsten aufgerufenen Ressourcen finden:

awk '{count[$5]++} END {for (resource in count) print count[resource], resource}' server_logs.txt | sort -rn | head -n 5

Dieser Befehl folgt einem ähnlichen Muster mit einigen Änderungen:

  1. {count[$5]++} - Zählt das Vorkommen des 5. Feldes (die angeforderte Ressource)
  2. END {for (resource in count) print count[resource], resource} - Nach der Verarbeitung aller Zeilen:
    • Druckt zuerst die Anzahl, gefolgt von der Ressource
    • Diese Reihenfolgeänderung erleichtert die numerische Sortierung nach Anzahl
  3. | sort -rn - Sortiert numerisch in umgekehrter Reihenfolge (höchste Anzahl zuerst)
  4. | head -n 5 - Begrenzt die Ausgabe auf die ersten 5 Zeilen (Top 5 Ergebnisse)

Ausgabe:

1823 /index.html
956 /about.html
743 /products.html
512 /services.html
298 /contact.html

Diese AWK-Befehle demonstrieren die Leistungsfähigkeit der Verwendung von Arrays zum Zählen und Zusammenfassen. Sie können dieses Muster anpassen, um jedes Feld oder jede Kombination von Feldern in Ihren Daten zu zählen.

Zum Beispiel, um die Anzahl der Anfragen pro IP-Adresse zu zählen:

awk '{count[$3]++} END {for (ip in count) print ip, count[ip]}' server_logs.txt

Um Anfragen sowohl nach Methode als auch nach Status zu zählen:

awk '{key=$4"-"$6; count[key]++} END {for (k in count) print k, count[k]}' server_logs.txt

Diese Zusammenfassungen können Ihnen helfen, Verkehrsmuster zu verstehen und beliebte (oder problematische) Ressourcen auf Ihrem Server zu identifizieren.

Erstellen eines einfachen Berichts

Für unsere letzte Aufgabe erstellen wir einen einfachen HTML-Bericht, der einige wichtige Informationen aus unserer Protokolldatei zusammenfasst. Wir verwenden für diesen komplexeren Vorgang ein AWK-Skript, das in einer separaten Datei gespeichert ist.

Dieser Schritt kombiniert mehrere AWK-Ideen aus den vorherigen Abschnitten:

  • Zähler wie total++
  • Arrays wie ip_count[$3]++
  • einen END-Block, der die endgültige Zusammenfassung druckt

Wenn sich das Skript auf den ersten Blick lang anfühlt, konzentrieren Sie sich auf einen Block nach dem anderen. Sie müssen nicht die gesamte Datei auswendig lernen, bevor Sie sie ausführen.

Erstellen Sie zunächst eine Datei namens log_report.awk mit folgendem Inhalt:

Tipps: Kopieren Sie den untenstehenden Inhalt und fügen Sie ihn in Ihr Terminal ein, um die Datei zu erstellen.

cat << 'EOF' > log_report.awk
BEGIN {
    print "<html><body>"
    print "<h1>Server Log Summary</h1>"
    total = 0
    errors = 0
}

{
    total++
    if ($6 >= 400) errors++
    ip_count[$3]++
    resource_count[$5]++
}

END {
    print "<p>Total requests: " total "</p>"
    print "<p>Error rate: " (errors/total) * 100 "%</p>"
    
    print "<h2>Top 5 IP Addresses</h2>"
    print "<ul>"
    for (ip in ip_count) {
        top_ips[ip] = ip_count[ip]
    }
    n = asort(top_ips, sorted_ips, "@val_num_desc")
    for (i = 1; i <= 5 && i <= n; i++) {
        for (ip in ip_count) {
            if (ip_count[ip] == sorted_ips[i]) {
                print "<li>" ip ": " ip_count[ip] " requests</li>"
                delete ip_count[ip]
                break
            }
        }
    }
    print "</ul>"
    
    print "<h2>Top 5 Requested Resources</h2>"
    print "<ul>"
    for (resource in resource_count) {
        top_resources[resource] = resource_count[resource]
    }
    n = asort(top_resources, sorted_resources, "@val_num_desc")
    for (i = 1; i <= 5 && i <= n; i++) {
        for (resource in resource_count) {
            if (resource_count[resource] == sorted_resources[i]) {
                print "<li>" resource ": " resource_count[resource] " requests</li>"
                delete resource_count[resource]
                break
            }
        }
    }
    print "</ul>"
    
    print "</body></html>"
}
EOF

Lassen Sie uns dieses AWK-Skript Abschnitt für Abschnitt verstehen:

  1. BEGIN-Block: Wird vor der Verarbeitung von Eingabezeilen ausgeführt

    BEGIN {
    print "<html><body>"  ## HTML-Struktur starten
    print "<h1>Server Log Summary</h1>"
    total = 0  ## Zähler für Gesamtanfragen initialisieren
    errors = 0  ## Zähler für fehlerhafte Anfragen initialisieren
}

  2. Hauptverarbeitungsblock: Wird für jede Zeile der Eingabedatei ausgeführt

    {
    total++  ## Gesamtanfragezähler erhöhen
    if ($6 >= 400) errors++  ## Fehlerantworten zählen (Statuscodes >= 400)
    ip_count[$3]++  ## Anfragen nach IP-Adresse zählen (Feld 3)
    resource_count[$5]++  ## Anfragen nach Ressource zählen (Feld 5)
}

  3. END-Block: Wird nach der Verarbeitung aller Eingabezeilen ausgeführt

    END {
    ## Zusammenfassende Statistiken drucken
    print "<p>Total requests: " total "</p>"
    print "<p>Error rate: " (errors/total) * 100 "%</p>"

    ## Top 5 IP-Adressen verarbeiten und drucken
    ## ...

    ## Top 5 angeforderte Ressourcen verarbeiten und drucken
    ## ...

    print "</body></html>"  ## HTML-Struktur beenden
}

Bevor Sie fortfahren, beachten Sie den allgemeinen Ablauf:

  1. BEGIN druckt die öffnenden HTML-Tags und initialisiert die Zähler.
  2. Der mittlere Block verarbeitet jede Protokollzeile und aktualisiert die Summen.
  3. END druckt den endgültigen Bericht, nachdem jede Zeile analysiert wurde.

Lassen Sie uns die Sortierlogik für die Top-IPs untersuchen (der Ressourcenabschnitt funktioniert genauso):

## Kopieren Sie die Zählungen in ein neues Array zum Sortieren
for (ip in ip_count) {
    top_ips[ip] = ip_count[ip]
}

## Sortieren Sie das Array nach Wert in absteigender Reihenfolge
n = asort(top_ips, sorted_ips, "@val_num_desc")

## Drucken Sie die Top 5 Einträge
for (i = 1; i <= 5 && i <= n; i++) {
    ## Finden Sie die ursprüngliche IP, die mit dieser Anzahl übereinstimmt
    for (ip in ip_count) {
        if (ip_count[ip] == sorted_ips[i]) {
            print "<li>" ip ": " ip_count[ip] " requests</li>"
            delete ip_count[ip]
            break
        }
    }
}

In diesem Skript:

  • sortiert die Funktion asort() das Array
  • ist "@val_num_desc" ein spezielles Argument, das anweist, numerisch nach Wert in absteigender Reihenfolge zu sortieren
  • finden und drucken die verschachtelten Schleifen die Top 5 Einträge

Sie können sich die verschachtelten Schleifen wie folgt vorstellen:

  • die erste Schleife entscheidet, welche Zählungen zu den Top 5 gehören
  • die zweite Schleife findet heraus, welche IP-Adresse oder Ressource jede Zählung erzeugt hat
  • nach dem Drucken einer Übereinstimmung löscht das Skript diesen Schlüssel, damit gleiche Zählungen nicht denselben Eintrag duplizieren

Dieses Suchmuster ist fortgeschrittener als die vorherigen Schritte, daher ist es normal, wenn dies der erste Teil des Labs ist, der sich wie echtes Skripting anfühlt und nicht wie ein Einzeiler-Befehl.

Lassen Sie uns nun unser AWK-Skript ausführen, um den Bericht zu generieren:

awk -f log_report.awk server_logs.txt > log_report.html

Die Option -f weist AWK an, das Skript aus der angegebenen Datei zu lesen:

  • -f log_report.awk - Liest das AWK-Skript aus der Datei log_report.awk
  • server_logs.txt - Verarbeitet diese Datei mit dem Skript
  • > log_report.html - Leitet die Ausgabe in die Datei log_report.html um

Sie können den Inhalt des Berichts mit dem cat-Befehl anzeigen:

cat log_report.html

Wenn die HTML-Ausgabe im Terminal schwer zu scannen ist, sehen Sie sich zuerst nur den ersten Teil an:

head -n 15 log_report.html

Dieser Bericht bietet eine Zusammenfassung der Gesamtanfragen, der Fehlerrate, der Top 5 IP-Adressen und der Top 5 angeforderten Ressourcen. In einem realen Szenario könnten Sie diese HTML-Datei in einem Webbrowser öffnen, um eine formatierte Ansicht zu erhalten.

Der Ansatz, den wir in diesem Skript verwendet haben, zeigt, wie AWK für komplexere Datenanalyseaufgaben verwendet werden kann. Sie können dieses Skript erweitern, um zusätzliche Statistiken oder verschiedene Visualisierungen basierend auf Ihren spezifischen Anforderungen einzubeziehen.

Zusammenfassung

Herzlichen Glückwunsch! Sie haben dieses Lab zur Verwendung des AWK-Befehls für die Protokollanalyse abgeschlossen. Lassen Sie uns zusammenfassen, was Sie gelernt haben:

  1. Grundlegende AWK-Nutzung: Drucken spezifischer Felder aus einer strukturierten Textdatei.
  2. Filtern von Daten: Verwendung von Bedingungen in AWK zur Auswahl spezifischer Protokolleinträge.
  3. Zählen und Zusammenfassen: Verwendung von AWK zur Generierung von Statistiken aus Protokolldaten.
  4. Erstellen von Berichten: Schreiben komplexerer AWK-Skripte zur Generierung formatierter Berichte.

Diese Fähigkeiten sind von unschätzbarem Wert für die Analyse von Protokolldateien, die Verarbeitung von Daten und die Erstellung von Berichten in Ihrer zukünftigen Arbeit als Systemadministrator oder Datenanalyst.

Hier sind einige zusätzliche AWK-Parameter und Funktionen, die wir in diesem Lab nicht behandelt haben:

  • -F: Gibt ein anderes Feldtrennzeichen als Leerzeichen an.
  • -v: Weist einer Variablen einen Wert zu.
  • NR: Eine integrierte Variable, die die aktuelle Datensatznummer darstellt.
  • NF: Eine integrierte Variable, die die Anzahl der Felder im aktuellen Datensatz darstellt.
  • BEGIN- und END-Blöcke: Spezielle Muster für Initialisierung und Finalisierung.
  • Integrierte Funktionen: Mathematische Funktionen, Zeichenfolgenfunktionen und mehr.

Denken Sie daran, Übung ist der Schlüssel zur Beherrschung von AWK. Versuchen Sie, die Befehle und Skripte aus diesem Lab zu ändern, um verschiedene Aspekte der Protokolldatei zu analysieren oder andere Arten von strukturierten Textdaten zu verarbeiten.

Verwandt Linux Kurse
Schnellstart mit Linux

Schnellstart mit Linux

linux
Junior Systemadministrator werden

Junior Systemadministrator werden

linuxshell
Linux für Anfänger

Linux für Anfänger

linux