Linux云计算 |【第二阶段】SHELL-DAY5

主要内容：

awk命令、内置变量（FS、$0、$1、$2、NF、NR）、过滤时机（BEGIN{}、{}、END{}）、处理条件（正则、&&、||、~\!~、==等）、awk数组、监控脚本、安全检测脚本

一、awk介绍

awk 是一种强大的文本处理工具，广泛用于 Unix 和 Linux 系统中。它是一种编程语言，专门用于处理结构化数据和生成格式化的报告。awk 的名字来源于其三位开发者 Alfred Aho、Peter Weinberger 和 Brian Kernighan 的姓氏首字母。

作用：基于模式匹配检查输入文本，逐行处理并输出；通常用在Shell脚本中，获取指定的数据；单独使用时，可对文本数据做统计；（精确搜索、数据统计）

补充：awk过滤数据时支持仅打印某一列；

补充：处理文本时，若未指定分隔符，则默认将空格、Tab制表符等作为分隔符。

1、awk 基本用法

格式：awk 'pattern { action }' file

pattern：用于匹配输入行的条件。如果省略，awk 将对所有行执行 action。
action：在匹配的行上执行的操作。
file：要处理的文件。如果省略，awk 将从标准输入读取数据。

常用 action 指令：

{print} 输出

补充：使用awk时，如果指令就是{print}，且前面写了条件的情况下可以省略{print}

awk 的基本概念：

记录（Record）：awk 将输入数据视为一系列记录。默认情况下，记录是由换行符分隔的行
字段（Field）：每个记录由字段组成。默认情况下，字段是由空格或制表符分隔的。字段可以通过 \$1, \$2, \$3, ... 来访问
变量：awk 有许多内置变量，例如 NF（字段数）、NR（记录数）、FS（字段分隔符）等

2、awk 内置变量

说明：

\$0：文本当前行的全部内容（整行）
\$1, \$2, ...：当前记录的第 1 个、第 2 个字段等（第1列、第2列，依此类推）
NF：当前记录中的字段数（有几列）
NR：当前记录的行号（类似sed中的"="）
FS：字段分隔符（默认是空格或制表符）
RS：记录分隔符（默认是换行符）
OFS：输出字段分隔符（默认是空格）
ORS：输出记录分隔符（默认是换行符）

3、awk 常见用法

1）特定字段打印

打印文件 file.txt 中每一行的第一个和第三个字段

awk '{ print \$1, \$3 }' file.txt

2）使用模式匹配

打印文件 file.txt 中包含 pattern 的行

awk '/pattern/ { print \$0 }' file.txt

3）计算字段的总和

计算文件 file.txt 中第一个字段的总和，并在处理完所有行后打印总和

awk '{ sum += \$1 } END { print sum }' file.txt

4）使用自定义字段分隔符

使用冒号 : 作为字段分隔符，并打印 /etc/passwd 文件中每一行的第一个字段。

awk -F':' '{ print \$1 }' /etc/passwd

5）使用变量

打印文件 file.txt 中每一行的第一个字段，并在前面加上变量 var 的值。

awk -v var="Hello" '{ print var, \$1 }' file.txt

4、awk 常用选项

-F fs

说明：指定输入字段分隔符（Field Separator）。
示例：awk -F':' '{ print \$1 }' /etc/passwd
解释：使用冒号 : 作为字段分隔符，并打印 /etc/passwd 文件中每一行的第一个字段。

-v var=value

说明：定义一个变量并赋值。
示例：awk -v var="Hello" '{ print var, \$1 }' file.txt
解释：定义变量 var 并赋值为 "Hello"，然后打印文件 file.txt 中每一行的第一个字段，并在前面加上变量 var 的值。

-f scriptfile

说明：从指定的脚本文件中读取 awk 命令。
示例：awk -f script.awk file.txt
解释：从 script.awk 文件中读取 awk 命令，并应用于 file.txt 文件。

-v OFS=output_field_separator

说明：指定输出字段分隔符（Output Field Separator）。
示例：awk -v OFS="," '{ print \$1, \$2, \$3 }' file.txt
解释：使用逗号 , 作为输出字段分隔符，并打印文件 file.txt 中每一行的前三个字段。

-v ORS=output_record_separator

说明：指定输出记录分隔符（Output Record Separator）。
示例：awk -v ORS="\n\n" '{ print \$0 }' file.txt
解释：使用两个换行符 \n\n 作为输出记录分隔符，并打印文件 file.txt 中的每一行。

-v FS=input_field_separator

说明：指定输入字段分隔符（Field Separator）。
示例：awk -v FS="," '{ print \$1 }' file.csv
解释：使用逗号 , 作为输入字段分隔符，并打印文件 file.csv 中每一行的第一个字段。

-v RS=input_record_separator

说明：指定输入记录分隔符（Record Separator）。
示例：awk -v RS="\n\n" '{ print \$0 }' file.txt
解释：使用两个换行符 \n\n 作为输入记录分隔符，并打印文件 file.txt 中的每一行。

-v NF=number_of_fields

说明：指定每行的字段数。
示例：awk -v NF=3 '{ print \$1, \$2, \$3 }' file.txt
解释：指定每行有 3 个字段，并打印文件 file.txt 中每一行的前三个字段。

-v NR=number_of_records

说明：指定处理的记录数。
示例：awk -v NR=5 '{ print \$0 }' file.txt
解释：只处理文件 file.txt 中的前 5 行，并打印每一行。

awk变量练习示例1：

[root@svr7 ~]# cat test     //测试文件
hello the world
welcome to beijing

例如：不加条件，输出所有

[root@svr7 opt]# awk '{print}' test
hello the world
welcome to beijing

例如：输出以h开头的行

[root@svr7 opt]# awk '/^h/{print}' test
hello the world

例如：输出所有行的第1列

[root@svr7 opt]# awk '{print $1}' test
hello
Welcome

例如：输出所有行的第1列和第3列

[root@svr7 opt]# awk '{print $1,$3}' test
hello world
welcome beijing

例如：输出以w开头，$0整行内容，第3列

[root@svr7 opt]# awk '/^w/{print $0,$3}' test
welcome to beijing beijing

例如：输出以w开头，$0整行内容，当前行的行号

[root@svr7 opt]# awk '/^w/{print $0,NR}' test
welcome to beijing 2

例如：输出以w开头，$0整行内容，当前行的列号

[root@svr7 opt]# awk '/^w/{print $0,NF}' test  
welcome to beijing 3

例如：输出每行最后一个字段（列）

[root@svr7 ~]# awk -F: '{print $NF}' /etc/passwd
/bin/bash
/sbin/nologin
/sbin/nologin
/sbin/nologin

例如：从脚本文件中读取 awk 命令

[root@svr7 opt]# awk -f script.awk example.csv

例如：使用逗号作为输出字段分隔符，并打印每一行的前两个字段

[root@svr7 opt]# awk -v OFS="," '{ print \$1, \$2 }' example.csv

例如：使用两个换行符作为输出记录分隔符，并打印每一行

[root@svr7 opt]# awk -v ORS="\n\n" '{ print \$0 }' example.csv

例如：输出passwd文件中以【:】分隔的第1、7个字段，需要显示的不同字段之间，以逗号【,】隔开（ -F 可指定分隔符）

[root@svr7 opt]# awk -F: '/bash$/{print $1,$7}' /etc/passwd
root /bin/bash
student /bin/bash
lisi /bin/bash
...

通过“常量”显示字段之间的空白，增加辨识（awk的print指令不仅可以打印变量，还可以打印常量）

[root@svr7 opt]# awk -F: '/bash$/{print $1,"的解释器："$7}' /etc/passwd
root 的解释器：/bin/bash
student 的解释器：/bin/bash
lisi 的解释器：/bin/bash
...

注意：输出“常量”时使用双引号【“”】

补充：awk输出特点，【,】显示为一个空格；直接打空格或多个空格，都不显示

[root@svr7 opt]# awk -F: '/bash$/{print $1     $7}' /etc/passwd
root/bin/bash
student/bin/bash
lisi/bin/bash
...

补充：awk可识别多种单个的字符，比如以“:”或“/”分隔，输出第1、10字段

[root@svr7 opt]# awk -F [:/] '{print $1,$10}' /etc/passwd
root bash
bin nologin
daemon nologin
...

awk变量练习示例1：

例如：输出/etc/hosts映射文件内以127或者192开头的记录

[root@svr7 ~]# awk  '/^(127|192)/' /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
192.168.4.5  svr5.tarena.com svr5

例如：结合管道过滤命令输出根分区的磁盘剩余空间

[root@svr7 ~]# df -h /
文件系统        容量     已用     可用     已用%     挂载点
/dev/sda2      19G     7.2G     14G     40%       /
[root@svr7 opt]# df -h / | tail -1 | awk '{print$4}'
14G
[root@svr7 opt]# df -h | awk '/\/$/{print$4}'    //【/$】以根结尾，需加转义符【\】
14G

例如：检查登录失败的IP地址有哪些

[root@svr7 opt]# cat /var/log/secure
Apr  8 09:25:37 svr7 sshd[2497]: Failed password for root from 192.168.4.254 port 55446 ssh2
[root@svr7 opt]# awk '/Failed/{print $11}' /var/log/secure
192.168.4.254

例如：检查内存的剩余容量

[root@svr7 opt]# freetotal     used       free      shared  buff/cache   available
Mem:  1015292   397320   200064      7888      417908      410044
[root@svr7 opt]# free | awk '/Mem/{print"内存剩余容量"$4}'
内存剩余容量200216

例如：利用awk提取本机的网络流量

- 通过ifconfig eth0查看网卡信息，其中包括网卡流量：

[root@svr7 opt]# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500inet 192.168.4.7  netmask 255.255.255.0  broadcast 192.168.4.255inet6 fe80::b7fc:281e:69b8:c18  prefixlen 64  scopeid 0x20<link>ether 52:54:00:64:12:44  txqueuelen 1000  (Ethernet)RX packets 21386  bytes 2395273 (2.2 MiB)RX errors 0  dropped 0  overruns 0  frame 0TX packets 4196  bytes 508274 (496.3 KiB)TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

RX为接收数据量，TX为发送数据量。packets以数据包数量为单位，bytes以字节为单位

- 过滤接收数据的流量

[root@svr7 opt]# ifconfig eth0 | awk '/RX p/{print"服务器eth0接收流量是"$5"字节"}'      //过滤接收数据的流量
服务器eth0接收流量是2436341字节

- 过滤发送数据的流量

[root@svr7 opt]# ifconfig eth0 | awk '/TX p/{print"服务器eth0接收流量是"$5"字节"}'     //过滤发送数据的流量
服务器eth0发送流量是548040字节

二、awk 过滤时机（BEGIN{}、逐行处理{}、END{}）

在 awk 中，处理文本数据的过程可以分为三个主要阶段：BEGIN 块、逐行处理块{} 和 END 块。每个阶段都有其特定的用途和执行时机。以下是这三个阶段的详细说明：

1、BEGIN 块

执行时机：在读取任何输入记录之前执行。
用途：用于初始化变量、设置输入/输出字段分隔符、打印标题等。
语法：BEGIN { action }

awk 'BEGIN { FS=","; OFS="\t"; print "Name\tAge\tCity" } { print \$1, \$2, \$3 }' example.csv

解释：
BEGIN 块中设置了输入字段分隔符 FS 为逗号 ,，输出字段分隔符 OFS 为制表符 \t。
打印标题行 "Name\tAge\tCity"。
逐行处理块中打印每一行的字段。

2、逐行处理块

执行时机：在读取每一行输入记录时执行。
用途：用于处理每一行的数据，进行字段提取、条件判断、计算等操作。
语法：{ action }

awk '{ if (\$2 > 30) print \$1, \$2, \$3 }' example.csv

解释：
逐行处理块中检查每一行的第二个字段是否大于 30。
如果条件满足，则打印该行的第一个、第二个和第三个字段。

3、END 块

执行时机：在读取所有输入记录之后执行。
用途：用于输出汇总信息、计算总和、打印统计结果等。
语法：END { action }

awk 'BEGIN { FS=","; OFS="\t"; print "Name\tAge\tCity" } { sum += \$2 } END { print "Total Age:", sum }' example.csv

解释：
BEGIN 块中设置了输入字段分隔符 FS 为逗号 ,，输出字段分隔符 OFS 为制表符 \t。
打印标题行 "Name\tAge\tCity"。
逐行处理块中累加每一行的第二个字段（年龄）。
END 块中打印总年龄 "Total Age:" 和累加结果 sum

总结：

BEGIN{ } 行前处理，读取文件内容前执行，指令执行1次
{ } 逐行处理，读取文件过程中执行，指令执行n次
END{ } 行后处理，读取文件结束后执行，指令执行1次

例如：只做BEGIN{}预处理的时候，可以没有操作文件

[root@svr7 ~]# awk 'BEGIN{a=34;print a+12}'
46
[root@svr7 ~]# awk 'BEGIN{print "HELLOWORLD"}'
HELLOWORLD
[root@svr7 ~]# awk 'BEGIN{print x+1}'  //x可以不定义，直接用，默认值位0
1

例如：只做END{}处理的时候，需要有操作文件（只输出处理结果）

[root@svr7 opt]# awk 'END{print "BYE"}' user
BYE

例如：

[root@svr7 opt]# awk 'BEGIN{print NR}{print}END{print NR}' user
0
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
5

[root@svr7 opt]# awk 'BEGIN{print NR}END{print NR}' user
0      //预处理时，行数为0
5      //当文本全部处理完之后执行，行数为已读入文本的行数

例如：统计系统中使用/bin/bash作为登录Shell的用户总个数

思路1：预处理时赋值变量x=0
思路2：然后逐行读入/etc/passwd文件，如果发现登录Shell是/bin/bash则x加1
思路3：全部处理完毕后，输出x的值即可

[root@svr7 opt]# awk 'BEGIN{x=0}/\/bin\/bash$/{x++}END{print x}' /etc/passwd
7

例如：格式化输出/etc/passwd文件，要求第一行为列表标题，中间打印用户的名称、UID、家目录信息，最后一行提示一共已处理文本的总行数，如图所示：

思路1：

[root@svr7 opt]# awk 'BEGIN{print"User\tUID\tHome"}'
User UID Home

【\t】显示Tab制表位，必须需写在双引号【“”】内才能生效

思路2：

[root@svr7 opt]# awk -F: '{print $1"\t"$3"\t"$6}' user
root 0 /root
bin 1 /bin
daemon 2 /sbin
adm 3 /var/adm
lp 4 /var/spool/lpd

思路3：

[root@svr7 opt]# awk 'END{print"Total: "NR,"lines."}' user
Total: 5 lines.

结果：

[root@svr7 opt]# awk -F: 'BEGIN{print"User\tUID\tHome"} {print$1"\t"$3"\t"$6} END{print"Total:",NR,"lines."}' user
User    UID    Home
root     0     /root
bin      1     /bin
daemon   2     /sbin
adm      3     /var/adm
lp       4     /var/spool/lpd
Total: 5 lines.

三、awk 处理条件

概述：所有的行全部处理并输出；限制处理的条件；根据多个条件来处理指定的行

回顾格式：awk [选项] ‘[条件] {指令}’ 被处理文件...

条件的表现形式：

① 正则表达式：/表达式/、~、!~
② 数值/字符串比较：==、!=、>、>=、
③ 逻辑比较：&& 逻辑与、||逻辑或
④ 运算符：+、-、*、/、%、++、--、+=、-=、*=、/=

1）正则表达式

/正则表达式/
~包含、!~不包含

例如：输出其中以bash结尾的行

[root@svr7 opt]# awk -F: '/bash$/' /etc/passwd
root:x:0:0:root:/root:/bin/bash
student:x:1000:1000:Student:/home/student:/bin/bash
...

例如：输出包含root的行

[root@svr7 opt]# awk -F: '/root/' /etc/passwd 
root:x:0:0:root:/root:/bin/bash
operator:x:11:0:operator:/root:/sbin/nologin

例如：输出root或adm账户的用户名和UID信息

[root@svr7 opt]# awk -F: '/^(root|adm)/{print $1,$3}' /etc/passwd  =
root 0
adm 3

例如：~包含、!~不包含

[root@svr7 opt]# awk -F: '$1~/root/{print}' /etc/passwd 
root:x:0:0:root:/root:/bin/bash[root@svr7 opt]# awk -F: '$1~/root/' /etc/passwd 
root:x:0:0:root:/root:/bin/bash

补充：使用awk时如果指令就是{print}，且前面写了条件的情况下可以省略{print}

例如：输出登录Shell不以nologin结尾（即对第7个字段做!~反向匹配）的用户名、登录Shell信息

[root@svr7 opt]# awk -F: '$7!~/nologin$/{print $1,$7}' /etc/passwd 
root /bin/bash
sync /bin/sync
shutdown /sbin/shutdown
...

2）数值比较

==等于、!=不等于、>大于、>=大于或等于、

例如：输出第1行

[root@svr7 opt]# awk -F: 'NR==1' /etc/passwd 
root:x:0:0:root:/root:/bin/bash

例如：输出第2行第7列

[root@svr7 opt]# awk -F: 'NR==2{print $7}' /etc/passwd 
/sbin/nologin

例如：输出行号小于或等于3

[root@svr7 opt]# awk -F: 'NR<=3' /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin

例如：输出账户UID大于等于1000的账户名称和UID信息（普通用户）

[root@svr7 opt]#  awk -F: '$3>=1000{print $1,$3}' /etc/passwd
student 1000
lisi 1001
zhangsan 1002
...

例如：找解释器是/bin/bash的用户

[root@svr7 opt]# awk -F: '$7=="/bin/bash"' /etc/passwd
root:x:0:0:root:/root:/bin/bash
student:x:1000:1000:Student:/home/student:/bin/bash
lisi:x:1001:1001::/home/lisi:/bin/bash
...

例如：找解释器不是/sbin/nologin的用户

[root@svr7 opt]# awk -F: '$7!="/sbin/nologin"' /etc/passwd 
root:x:0:0:root:/root:/bin/bash
sync:x:5:0:sync:/sbin:/bin/sync
...

例如：找解释器不是/sbin/nologin的用户及输出第1列包含root的行

[root@svr7 opt]# awk -F: '$1=="root"' /etc/passwd 
root:x:0:0:root:/root:/bin/bash
[root@svr7 opt]# awk -F: '$1~/root/' /etc/passwd
root:x:0:0:root:/root:/bin/bash

注意：==比～包含更严格匹配，~包含稍微宽松匹配

例如：查看包含2个及以上字段的行

[root@svr7 opt]# awk 'NF>=2{print}' /etc/passwd

3）逻辑比较

&& 逻辑与：期望多个条件多成立；
|| 逻辑或：只要有一个条件成立即满足要求；

例如：找uid范围是10~20的行

[root@svr7 opt]# awk -F: '$3>=10&&$3<=20' /etc/passwd  
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

例如：找行号2~10行

[root@svr7 opt]# awk 'NR>=2&&NR<=10' /etc/passwd
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin

例如：找uid是0~4或者1001以上的行

[root@svr7 opt]# awk -F: '$3<5||$3>1001' /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
zhangsan:x:1002:1002::/home/zhangsan:/bin/bash
wangwu:x:1003:1003::/home/wangwu:/bin/bash
abc01:x:1004:1004::/home/abc01:/bin/bash
Tom:x:1005:1005::/home/Tom:/bin/bash

4）运算符

+、-、*、/、%
++、--、+=、-=、*=、/=

例如：不定义x，默认为0

[root@svr7 opt]# awk 'BEGIN{x++;print x}'
1
[root@svr7 opt]# awk 'BEGIN{x=8;print x+=2}'
10
[root@svr7 opt]# awk 'BEGIN{print x+=2}'
2
[root@svr7 opt]# awk 'BEGIN{print 2*2}'
4
[root@svr7 opt]# awk 'BEGIN{print 10%3}'
1

例如：显示偶数行

[root@svr7 opt]# awk 'NR%2==0' user
bin:x:1:1:bin:/bin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin

例如：显示奇数行

[root@svr7 opt]# awk 'NR%2==1' user
root:x:0:0:root:/root:/bin/bash
daemon:x:2:2:daemon:/sbin:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

例如：统计文本的总字段个数

[root@svr7 opt]# awk 'BEGIN{i=0}{i+=NF}END{print i}' user
5

四、awk 数组

1）定义数组

格式：数组名[下标]=元素值 //数组名[下标]=下标对应的值（类似变量）

解释：数组是一个可以存储多个值的变量；

2）调用数组

格式：数组名[下标]

3）遍历数组（awk命令使用数组和for循环实现高级搜索）

用法：for( 变量 in 数组名 ){print 数组名[变量]}

[root@svr7 /]# awk 'BEGIN{a=11;b=22;print a,b}'     //变量
11 22
[root@svr7 /]# awk 'BEGIN{a[1]=10;a[2]=20;print a[1],a[2]}'    //数组[下标]
10 20

解释：使用awk测试数组创建了一个数组名字叫a，分别定义两个下标与对应的两个值，然后用print查看了a[1]的值和a[2]的值；

例如：创建素材文件data，该文件里面有三行信息；

[root@svr7 ~]# cat data
abc
xyz
abc

使用逐行任务{a[$1]++}走完所有行的第1列得到:

1 abc ->   a[abc]++ -> a[abc]=1

解释：起始a[abc]默认为0。匹配1次+1（0+1=1）

2 xyz ->   a[xyz]++ -> a[xyz]=1

解释：起始a[xyz]默认为0。匹配1次+1（0+1=1）

3 abc ->   a[abc]++ -> a[abc]=2

解释：a[abc]已匹配1次。再匹配1次+1（1+1=2）

{a[$1]++} 对文本的每行内容以第一个字段【$1】为数组下标进行计数。若遇第一个字段相同的情况，计数累加。

[root@svr7 ~]# awk '{a[$1]++}END{print a["abc"],a["xyz"]}' data
2 1

解释：根据上述结果，得到如果使用{a[$1]++}走完所有行，便可收集到a[xyz]=1和a[abc]=2的结果，所以在最后使用END任务输出a[“xyz”]和a[“abc”]的值就是 1和 2

[root@svr7 ~]# awk '{a[$1]++}END{for(i in a){print i}}' data
abc
xyz
[root@svr7 ~]# awk '{a[$1]++}END{for(i in a){print a[i]}}' data
2
1
[root@svr7 ~]# awk '{a[$1]++}END{for(i in a){print i,a[i]}}' data
abc 2
xyz 1

解释：使用for循环，循环显示数组a的下标，与值，其中for(i in a)里面的i是变量，代表下标，in是语法不能变，a是数组名

例如：

[root@svr7 ~]# awk 'BEGIN{a[0]=11;a[1]=88;print a[1],a[0]}'
88 11
[root@svr7 ~]# awk 'BEGIN{a++;print a}'
1
[root@svr7 ~]# awk 'BEGIN{a[0]++;print a[0]}'    //”a[0]”相当于1个变量
1
[root@svr7 ~]# awk 'BEGIN{a[0]=0;a[1]=11;a[2]=22; for(i in a){print i,a[i]}}'
0 0
1 11
2 22

案例：针对Web访问日志计算访问量排名

思路分析：

① 获取关键词：客户机地址、访问次数

[root@svr7 /]# cd /var/log/httpd/   //Apache日志目录
[root@svr7 httpd]# ls
access_log  error_log
[root@svr7 httpd]# wc -l access_log    //access_log为登入httpd来访者的记录
4 access_log
[root@svr7 httpd]# tail -1 access_log
192.168.4.7 - - [08/Apr/2021:16:36:15 +0800] "GET /favicon.ico HTTP/1.1" 404 209 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"

关键词：access_log日志中第1个字段即对应客户机的IP

② 利用awk提取客户机IP地址、访问次数

[root@svr7 httpd]# awk '{print $1}' /var/log/httpd/access_log
192.168.4.7
192.168.4.7
192.168.4.7
192.168.4.7

③ 以$1作为下标，定义数组ip，【ip[$1]】

④ 利用for循环输出数组下标、对应数组元素的值

[root@svr7 httpd]# awk '{ip[$1]++}END{print ip["192.168.4.7"]}' /var/log/httpd/access_log
8
[root@svr7 httpd]# awk '{ip[$1]++}END{for(i in ip){print i,ip[i]}}' /var/log/httpd/access_log
192.168.4.7 8

补充：利用sort可提取结果访问次数排名

[root@svr7 /]# awk '{ip[$1]++}END{for(i in ip){print i,ip[i]}}' /var/log/httpd/access_log | sort -nr
192.168.4.7 8

补充：利用sort对提取结果排序

[-n] 按数字生序排列

[-k] 针对指定的列进行排序

[-r] 反向排序

案例：安全检测脚本（防止远程ssh暴力破解密码）

任务需求：统计登录服务器失败的用户IP记录，/var/log/secure是系统的安全日志，如果有人登录服务器而密码输入错误则会记录到该文档中；（测试前登录服务器并故意输入错误密码）

思路分析：

① ssh登录的安全日志为/var/log/secure

[root@svr7 ~]# ls /var/log/secure
/var/log/secure
[root@svr7 ~]# grep 'Failed' /var/log/secure
Apr  8 09:25:37 svr7 sshd[2497]: Failed password for root from 192.168.4.254 port 55446 ssh2

② 分析日志文件格式

Apr 8 09:25:37 svr7 sshd[2497]: Failed password for root from 192.168.4.254 port 55446 ssh2

关键词：Failed password 及登录失败的IP（在记录中的第11列）

② 找出用户名以及密码错误的规律，并提取有数据

[root@svr7 ~]# awk '/Failed password/{print}' /var/log/secure
Apr  8 09:25:37 svr7 sshd[2497]: Failed password for root from 192.168.4.254 port 55446 ssh2
Apr  9 09:27:55 svr7 sshd[2649]: Failed password for root from 192.168.4.254 port 48504 ssh2
Apr  9 09:27:59 svr7 sshd[2649]: Failed password for root from 192.168.4.254 port 48504 ssh2

③ 对有效数据进行汇总统计，实现黑名单过滤动能

[root@svr7 ~]# awk '/Failed password/{ip[$11]++}END{for(i in ip){print i,ip[i]}}' /var/log/secure
192.168.4.254 3

[root@svr7 ~]# ls /var/log/      //安全日志文件
secuer-20210409 secure-20210312

案例：监控脚本

编写脚本监控本机各项数据指标：

① CPU负载：uptime、top
② 内存剩余容量：free，[-h]显示单位
③ 磁盘剩余容量：df，[-h]显示单位
④ 计算机账户数量：cat /etc/passwd | wc -l
⑤ 当前登录账户数量：who | wc -l
⑥ 当前开启的进程数量：ps -aux | wc -l
⑦ 网卡流量：ifconfig
⑧ 已安装的软件包数量：rpm -qa | wc -l

思路分析：

① 查看CPU负载、系统登录时间（或top）

[root@svr7 /]# uptime10:13:12 up  1:39,  1 user,  load average: 0.00, 0.01, 0.05
[root@svr7 /]# uptime | awk '{print $NF}'
0.05

关键词：15分钟平均负载（$NF）

[root@svr7 /]# uptime | awk '{print "cpu15分钟平均负载量是：" $NF}'
cpu15分钟平均负载量是：0.05

② 查看内存容量

[root@svr7 /]# free -htotal    used      free      shared  buff/cache   available
Mem:     991M     383M      178M      7.7M     429M        405M
Swap:    2.0G      0B       2.0G
[root@svr7 log]# free -h | awk '/^Mem/{print}'
Mem:     991M     384M       178M       7.7M     429M      404M

关键词：Mem内存，free剩余（$4）

[root@svr7 /]# free -h | awk '/^Mem/{print "剩余内存容量是："$4}'
剩余内存容量是：178M

③ 查看磁盘剩余容量

[root@svr7 /]# df -h
文件系统                   容量  已用  可用 已用% 挂载点
/dev/mapper/centos-root   17G  3.7G   14G   22%  /

关键词：根分区，可用容量（$4）

[root@svr7 /]# df -h | awk '/\/$/{print "服务器根分区剩余容量是："$4}'
服务器根分区剩余容量是：14G

④ 计算机账户数量

[root@svr7 opt]# wc -l /etc/passwd
48 /etc/passwd

关键词：统计/etc/passwd记录行数（$1）

方法1：

[root@svr7 opt]# wc -l /etc/passwd | awk '{print $1}'
48

方法2：

n=$(wc -l /etc/passwd)    //定义变量
n1=${n%%/*}    //去尾
echo "服务器账户总是：$n1个"

方法3：

[root@svr7 opt]# awk 'BEGIN{i=0}{i=NR}END{print i}' /etc/passwd
48

⑤ 当前登录账户数量

[root@svr7 opt]# who
root     pts/0        2021-04-09 09:01 (192.168.4.254)

关键词：统计who记录行数

[root@svr7 opt]# echo $(who | wc -l)
1

⑥当前开启的进程数量

[root@svr7 opt]# ps -aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.6 128304  6848 ?        Ss   08:33   0:01 /usr/lib/system
root         2  0.0  0.0      0     0 ?        S    08:33   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S    08:33   0:00 [ksoftirqd/0]
...

关键词：统计ps记录行数

[root@svr7 opt]# echo $(ps aux | wc -l)
180

编写脚本

[root@svr7 opt]# vim test.sh
#!/bin/bash
while :
do
clear    //清空屏幕显示uptime | awk '{print "cpu15分钟平均负载量是：" $NF}'df -h | awk '/\/$/{print "服务器根分区剩余容量是："$4}'free -h | awk '/^Mem/{print "剩余内存容量是："$4}'n=$(wc -l /etc/passwd)n1=${n%%/*}echo "服务器账户总是：$n1个"echo  "当前登录账户数量是：$(who | wc -l)个"x=$(ps aux | wc -l)echo "当前开启的进程数量是：$x个"
sleep 3
done

测试：

[root@svr7 opt]# bash test.sh
cpu15分钟平均负载量是：0.05
服务器根分区剩余容量是：14G
剩余内存容量是：174M
服务器账户总是：48 个
当前登录账户数量是：2个
当前开启的进程数量是：183个

扩展知识：

awk 和 sed 都是 Unix 和 Linux 系统中常用的文本处理工具，但它们的设计目的和使用场景有所不同。以下是它们的主要区别：

1、awk：（更适合处理结构化数据和生成报告，支持复杂的文本处理任务）

设计目的：awk 是一种编程语言，专门用于处理结构化数据和生成格式化的报告。它主要用于数据提取和报告生成，适合处理包含字段的文本文件（如 CSV 文件）。awk 提供了丰富的内置变量和函数，支持条件判断、循环、数组等高级功能。

语法和功能：

语法：awk 'pattern { action }' file
支持字段操作：\$1, \$2, \$3, ...
支持内置变量：NF（字段数）、NR（记录数）、FS（字段分隔符）等
支持条件判断、循环、数组等高级功能
适合处理结构化数据和生成报告

# 打印文件中每一行的第一个和第三个字段
awk '{ print \$1, \$3 }' file.txt# 计算文件中第一个字段的总和
awk '{ sum += \$1 } END { print sum }' file.txt# 打印包含特定模式的行
awk '/pattern/ { print \$0 }' file.txt

2、sed：（更适合简单的文本编辑和转换任务，适合处理单行文本或简单的多行文本）

设计目的：sed 是一种流编辑器，主要用于对文本进行基本的编辑操作，如替换、删除、插入等。它适合用于简单的文本转换和处理任务，如批量替换文件中的字符串。sed 的语法相对简单，主要通过命令和正则表达式来操作文本。

语法和功能：

语法：sed 's/pattern/replacement/' file
支持基本的文本编辑操作：替换（s）、删除（d）、插入（i）、追加（a）等
支持正则表达式
适合简单的文本转换和处理任务

# 替换文件中的字符串
sed 's/old/new/g' file.txt# 删除包含特定模式的行
sed '/pattern/d' file.txt# 在每行前插入一行
sed 'i\Inserted line' file.txt

思维导图：

小结：

本篇章节为【第二阶段】SHELL-DAY5 的学习笔记，这篇笔记可以初步了解到 awk命令、内置变量、过滤时机、处理条件、awk数组、监控脚本、安全检测脚本

Tip：毕竟两个人的智慧大于一个人的智慧，如果你不理解本章节的内容或需要相关笔记、视频，可私信小安，请不要害羞和回避，可以向他人请教，花点时间直到你真正的理解