Nginx日志格式
log_format json '{"@timestamp":"$time_iso8601",'
'"clientip":"$remote_addr",'
'"request":"$request",'
'"http_user_agent":"$http_user_agent",'
'"size":"$body_bytes_sent",'
'"responsetime":"$request_time",'
'"upstreamtime":"$upstream_response_time",'
'"upstreamhost":"$upstream_addr",'
'"http_host":"$host",'
'"url":"$uri",'
'"domain":"$host",'
'"referer":"$http_referer",'
'"status":"$status"}';
access_log /var/log/nginx/access.log json;
脚本内容
可以根据自己需求在进行改进
#!/bin/bash
#作者:小胖宇
#博客地址:https://blog.csdn.net/weixin_46152207?spm=1001.2014.3001.5343
#脚本详解:查询出nginx日志中访问量异常的ip进行封禁
#方法有很多可以利用nginx的deny方法,这里采用iptables
#nginx日志位置
nginx_access_log=/var/log/nginx/access.log
ip=/var/log/nginx/ip.txt
#一分钟内ip访问量统计排序
cat /var/log/nginx/access.log | grep `date -d "1 minutes ago" +"%Y-%m-%d"T"%H:%M"`|awk -F '"' '{ print $8 }' |sort |uniq -c |sort -rn > ip.txt
for i in `awk '{print $1}' ip.txt`
do
if [ $i -gt 500 ]; then #设置的阈值为一分钟500
denyip=`grep $i ip.txt | awk '{print $2}'`
iptables -I INPUT -s $denyip -j DROP
echo $denyip > denyip.txt
fi
done
效果
可以用两种方式进行刷一些日志记录
命令行:循环访问制造大量的记录
也就是通过循环的方式使127.0.0.1作为了异常访问的ip
while true; do curl http://127.0.0.1; done
浏览器:
脚本检测是以一分钟之前最为检测范围
错后一分钟执行脚本即可 或者写入计划性任务
结果127.0.0.1不能在进行访问
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/101778.html原文链接:https://javaforall.net
