Syslog和LogAnalyzer -如何检索源IP并对其进行计数

Question

我设置了集中式Syslog (centOS + rsys)服务器，它运行LogAnalyzer以获得更好的日志表示。最近，我被要求为特定的防火墙语句提供来自防火墙的所有IP的日志，并统计列表中有多少特定的IP。

到目前为止，我知道如何显示特定防火墙语句的所有日志，但不知道如何从消息列检索源IP并计数特定的IP事件。

是否有其他软件可以做到这一点，或者我需要创建自己的日志解析器来完成这个任务？

谢谢

Answer 1

我们用AWK。

Feb 25 12:18:50 host.example.come kernel: LOGPREFIX: IN=eth0 OUT= MAC=00:aa:aa:bb:cc:dd:00:ee:00:aa:dc:00:aa:00 SRC=x.x.x.x DST=y.y.y.y LEN=40 TOS=0x00 PREC=0x00 TTL=95 ID=256 PROTO=TCP SPT=6000 DPT=22 WINDOW=16384 RES=0x00 SYN URGP=0

1. Awk出SRC地址
2. 对列表进行数字排序(prereq到uniq)
3. 使用uniq与-c标志一起获取每个源的计数
4. 可选:再按数字排序，以查看最严重的违反者。

[root@host.example.com faculty]# grep LOGPREFIX /var/log/messages | \
    awk '{print $10}' | sort -n | uniq -c | sort -n

输出：

      5 SRC=x.174.x.x
      6 SRC=61.y.y.y
      6 SRC=z.z.z.196
     17 SRC=a.a.246.a

最后: AWK底漆：http://www.grymoire.com/Unix/Awk.html