awk從基礎到高級之解析

awk簡介

        awk是一個強大的文本分析工具，相對於grep的查找，sed的編輯，awk在其對數據分析並生成報告時，顯得尤爲強大。簡單來說awk就是把文件逐行的讀入，以空格爲默認分隔符將每行切片，切開的部分再進行各種分析處理。

awk其名稱得自於它的創始人 Alfred Aho 、Peter Weinberger 和 Brian Kernighan 姓氏的首個字母。實際上 AWK 的確擁有自己的語言： AWK 程序設計語言 ， 三位創建者已將它正式定義爲“樣式掃描和處理語言”。它允許您創建簡短的程序，這些程序讀取輸入文件、爲數據排序、處理數據、對輸入執行計算以及生成報表，還有無數其他的功能。

awk有3個不同版本: awk、nawk和gawk，未作特別說明，一般指gawk，gawk 是 AWK 的 GNU 版本。

基本語法

awk [option]... 'script' FILE...

awk [option]... '/PATTERN/{action}' FILE...

                awk 'BEGIN{FS=":"}{print $1,$7}' FILE...

選項描述

     -F FS  #指定描述一行中的數據字段的文件分隔符

    -f awk_script  #指定讀取程序的文件名，可指定載入腳本

    -v VAR_VALUE    #定義awk程序中使用的變量和默認值

輸出動作介紹

 1、print

   print的使用格式：print item1， item2, ...

   要點：

     （1）、各項目之間使用逗號隔開，而輸出時則以空白字符分隔；

     （2）、輸出的item可以爲字符串或數值、當前記錄的字段(如$1)、變量或awk的表達式；數值會先轉換爲字符串，而後再輸出；

     （3）、print命令後面的item可以省略，此時其功能相當於print $0, 因此，如果想輸出空白行，則需要使用print""；

2、printf

    printf命令的使用格式：printf format, item1, item2,...

    要點：

      （1）、其與print命令的最大不同是，printf需要指定format；

      （2）、format用於指定後面的每個item的輸出格式；

      （3）、printf語句不會自動打印換行符；\n

      其中format格式的指示符都以%開頭，後跟一個字符；如下：

      %c: 顯示字符的ASCII碼；

      %d, %i：十進制整數；

      %e, %E：科學計數法顯示數值；

      %f: 顯示浮點數；

      %g, %G: 以科學計數法的格式或浮點數的格式顯示數值；

      %s: 顯示字符串；

      %u: 無符號整數；

      %%: 顯示%自身；

  在輸出格式上常用修飾符：

       N: 顯示寬度；

       -: 左對齊（默認爲右對齊）；

       +：顯示數值符號；

awk內置變量

    FS：Field Seperator, 輸入時的字段分隔符

# awk 'BEGIN{FS=":"}{print $1,$7}' /etc/passwd

RS：Record Seperator, 輸出行分隔符

OFS: Output Field Seperator, 輸出時的字段分隔符;

ORS: Outpput Row Seperator, 輸出時的行分隔符；

NF：Numbers of Field，字段數

NR：Numbers of Record, 行數；所有文件的一併計數；

FNR：行數；各文件分別計數；

ARGV：數組，保存命令本身這個字符，

                awk '{print $0}' 1.txt 2.txt，意味着ARGV[0]保存awk,

ARGC: 保存awk命令中參數的個數；

FILENAME： awk正在處理的當前文件的名稱

awk輸出重定向

print items > output-file

print items >> output-file

print items | command

        特殊文件描述符：

/dev/stdin: 標準輸入

/dev/stdout: 標準輸出

/dev/stderr: 錯誤輸出

awk的操作符

      x-y x減y  

      x*y x乘y  

      x/y x除y   

      -y 負y(y的開關符號);也稱一目減  

      ++y y加1後使用y(前置加）   

      y++ 使用y值後加1（後綴加）   

      --y y減1後使用y(前置減）   

      y-- 使用後y減1(後綴減）  

      x=y 將y的值賦給x  

      x+=y 將x+y的值賦給x  

      x-=y 將x-y的值賦給x  

      x*=y 將x*y的值賦給x   

      x/=y 將x/y的值賦給x 

      x%=y 將x%y的值賦給x  

      x^=y 將x^y的值賦給x  

      x**=y 將x**y的值賦給x    

awk允許的測試    

    操作符 含義    

     x==y x等於y  

     x!=y x不等於y  

     x>y x大於y   

     x>=y x大於或等於y  

     x<y x小於y   

     x<=y x小於或等於y?   

     x~re x匹配正則表達式re?  

     x!~re x不匹配正則表達式re?    

awk的操作符(按優先級升序排列)    

    = 、+=、 -=、 *= 、/= 、 %= 

     || 

     &&   

    > >= < <= == != ~ !~   

     xy (字符串連結，'x'y'變成"xy"）

      + -  

    * / %  

    ++ 

    --  

模式

(1) Regexp: 格式爲/PATTERN/

僅處理被/PATTERN/匹配到的行；

(2) Expression: 表達式，其結果爲非0或非空字符串時滿足條件；

僅處理滿足條件的行；

(3) Ranges: 行範圍，此前地址定界，startline, endline

僅處理範圍內的行

(4) BEGIN/END: 特殊模式，僅在awk命令的program運行之前（BEGIN）或運行之後（END）執行一次；

(5) Empty:空模式，匹配任意行

控制語句

 if-else

格式：if (condition) {then body} else {else body}

        # awk -F: '{if ($3>=500) {print $1,"is a common user"} else {print $1, "is an admin or system user"}}' /etc/passwd

# awk '{if (NF>=8) {print}}' /etc/inittab

 while

格式：while (condition) {while body}

        # awk '{i=1; while (i<=NF){printf "%s ",$i;i+=2};print ""}' /etc/inittab

# awk '{i=1; while (i<=NF){if (length($i)>=6) {print $i}; i++}}' /etc/inittab

length()函數：取字符串的長度

 do-while循環

格式：do {do-while body} while (condition)

 for循環

格式：for (variable assignment; condition; iteration process) {for body}

# awk '{for (i=1;i<=NF;i+=2){printf "%s ",$i};print ""}' /etc/inittab

# awk '{for (i=1;i<=NF;i++){if (length($i)>=6) print $i}}' /etc/inittab

for循環可用來遍歷數組元素：

語法：for (i in array) {for body}

case語句

語法：switch (expression) {case VALUE or /RGEEXP/: statement1;... default: stementN}

循環控制

break

continue

next

提前結束對本行的處理進而進入下一行的處理；

# awk -F: '{if($3%2==0) next;print $1,$3}' /etc/passwd

# awk -F: '{if(NR%2==0) next; print NR,$1}' /etc/passwd

數組

    關聯數組：

            array[index-expression]

        index-expression: 可以使用任意字符串; 如果某數組元素事先不存在，那麼在引用時，awk會自動創建此元素並將其初始化爲空串；因此，要判斷某數組是否存在某元素，必須使用“index in array”這種格式；

            A[first]="hello awk"

    print A[second]

要遍歷數組中的每一個元素，需要使用如下特殊結構

for (var in array) {for body}

其var會遍歷array的索引

        state[LISTEN]++

        state[ESTABLISHED]++

# netstat -tan | awk '/^tcp/{++state[$NF]}END{for (s in state) {print s,state[s]}}'

# awk '{ip[$1]++}END{for (i in ip) {print i,ip[i]}}' /var/log/httpd/access_log

刪除數組元素

delete array[index]

# awk '{line[x++]=$1} END{for(x in line) delete(line[x])}' test

split
    split函數可按給定的分隔符把字符串分割爲一個數組。如果分隔符沒提供，則按當前FS值進行分割

            split( string, array, field separator )

            split( string, array )

# netstat -tn | awk '/^tcp/{lens=split($5,client,":");ip[client[lens-1]]++}END{for (i in ip) print i,ip[i]}'長

常用例子

轉載互聯網

1.查看TCP連接狀態

netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn

netstat -n | awk ‘/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}’ 或

netstat -n | awk ‘/^tcp/ {++state[$NF]}; END {for(key in state) print key,"\t",state[key]}’

netstat -n | awk ‘/^tcp/ {++arr[$NF]};END {for(k in arr) print k,"t",arr[k]}’

netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn

netstat -ant | awk ‘{print $NF}’ | grep -v ‘[a-z]‘ | sort | uniq -c

2.查找請求數請20個IP（常用於查找攻來源）：

netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F: ‘{print $1}’|sort|uniq -c|sort -nr|head -n20

netstat -ant |awk ‘/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}’ |sort -rn|head -n20

3.用tcpdump嗅探80端口的訪問看看誰最高

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." ‘{print $1"."$2"."$3"."$4}’ | sort | uniq -c | sort -nr |head -20

4.查找較多time_wait連接

netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20

5.找查較多的SYN連接

netstat -an | grep SYN | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | sort | uniq -c | sort -nr | more

6.根據端口列進程

netstat -ntlp | grep 80 | awk ‘{print $7}’ | cut -d/ -f1

網站日誌分析篇1（Apache）：

1.獲得訪問前10位的ip地址

cat access.log|awk ‘{print $1}’|sort|uniq -c|sort -nr|head -10

cat access.log|awk ‘{counts[$(11)]+=1}; END {for(url in counts) print counts[url], url}’

2.訪問次數最多的文件或頁面,取前20

cat access.log|awk ‘{print $11}’|sort|uniq -c|sort -nr|head -20

3.列出傳輸最大的幾個exe文件（分析下載站的時候常用）

cat access.log |awk ‘($7~/.exe/){print $10 " " $1 " " $4 " " $7}’|sort -nr|head -20

4.列出輸出大於200000byte(約200kb)的exe文件以及對應文件發生次數

cat access.log |awk ‘($10 > 200000 && $7~/.exe/){print $7}’|sort -n|uniq -c|sort -nr|head -100

5.如果日誌最後一列記錄的是頁面文件傳輸時間，則有列出到客戶端最耗時的頁面

cat access.log |awk ‘($7~/.php/){print $NF " " $1 " " $4 " " $7}’|sort -nr|head -100

6.列出最最耗時的頁面(超過60秒的)的以及對應頁面發生次數

cat access.log |awk ‘($NF > 60 && $7~/.php/){print $7}’|sort -n|uniq -c|sort -nr|head -100

7.列出傳輸時間超過 30 秒的文件

cat access.log |awk ‘($NF > 30){print $7}’|sort -n|uniq -c|sort -nr|head -20

8.統計網站流量（G)

cat access.log |awk ‘{sum+=$10} END {print sum/1024/1024/1024}’

9.統計404的連接

awk ‘($9 ~/404/)’ access.log | awk ‘{print $9,$7}’ | sort

10. 統計http status

cat access.log |awk ‘{counts[$(9)]+=1}; END {for(code in counts) print code, counts[code]}'

cat access.log |awk '{print $9}'|sort|uniq -c|sort -rn

本文出自 “斷了的***” 博客，請務必保留此出處http://90sec.blog.51cto.com/7404127/1543949