使用 awk 删除字符

Question

我正在编写一个脚本来阻止 SFTP 服务器上登录失败的 IP 地址。我还使用 Centrify 将服务器连接到 AD，并且我注意到 Centrify 记录用户访问的方式与正常情况不同。我可以使用以下一行提取失败登录的 IP 地址：

(grep sshd /var/log/messages | grep "AUTH_FAIL_PASSWD" | awk '{print $18}' | sort | uniq -c | awk '{ if ( $1 > 10) print $2 }')

使用 Centrify 可以得到以下输出：

client=0.0.0.0

我需要做的是删除“client=”，这样我就可以只将 IP 地址传递给脚本的其余部分。

感谢您的帮助！

Answer 1

让我们开始摆脱命令行中所有无用的管道。将整个内容更改为仅此一个 awk 命令：

awk '/sshd/&&/AUTH_FAIL_PASSWD/{cnt[$18]++} END{for (ip in cnt) if (cnt[ip] > 10) print ip}' /var/log/messages

现在 - 更新您的问题以包含一些示例输入（/var/log/messages 的内容）和预期输出，并根据这些文件中的文本告诉我们您正在尝试做什么。

哦，我想我明白了。这可能是你想要的：

awk '/sshd/&&/AUTH_FAIL_PASSWD/{sub(/.*=/,"",$18); cnt[$18]++} END{for (ip in cnt) if (cnt[ip] > 10) print ip}' /var/log/messages

Answer 2

您可以将其转储回 awk：

(grep sshd /var/log/messages | grep "AUTH_FAIL_PASSWD" | awk '{print $18}' | sort | uniq -c | awk '{ if ($1 > 10) print $2 }' | awk -F" ="'{ 打印 $2 }')

最后一个 awk 用等号作为分隔符分割字符串并打印第二个元素。

Answer 3

你没说，但是如果ip是$18

... | awk '{if(split($18,a,/=/)==2) print a[2]; else print a[1] }' | ...

应该做你想做的事

更简单

... | awk '{sub(/.*=/,"",$18); print $18}'  | ...

此外，我喜欢管道，在许多情况下它们清楚地表明了您的意图，但也许值得接受至少部分其他答案的建议

 awk '/sshd/&&/AUTH_FAIL_PASSWD/ {
      sub(/.*-/,"",$18; print $18}' /var/log/messages | sort | ...