awk,文本处理三剑客之一,它的名称得自于它的创始人 Alfred Aho 、Peter Weinberger 和 Brian Kernighan 姓氏的首个字母,它不仅是 linux中也是任何环境中现有的功能最强大的数据处理引擎之一。作为一种强大的语言,它具备了一个完整的语言所应具有的几乎所有精美特性。
基本格式:awk [options] 'program' file…
program:pattern{action statements;..}
pattern和action:
pattern部分决定动作语句何时触发及触发事件
BEGIN,END
action statements对数据进行处理,放在{}内指明
print, printf
工作原理
第一步:执行BEGIN{action;… }语句块中的语句
第二步:从文件或标准输入(stdin)读取一行,然后执行pattern{ action;… }语句块,它逐行扫描文件,从第一行到最后一行重复这 个过程,直到文件全部被读取完毕。
第三步:当读至输入流末尾时,执行END{action;…}语句块
BEGIN语句块在awk开始从输入流中读取行之前被执行,这是一个 可选的语句块,比如变量初始化、打印输出表格的表头等语句通常 可以写在BEGIN语句块中
END语句块在awk从输入流中读取完所有的行之后即被执行,比如 打印所有行的分析结果这类信息汇总都是在END语句块中完成,它 也是一个可选语句块
pattern语句块中的通用命令是最重要的部分,也是可选的。如果 没有提供pattern语句块,则默认执行{ print },即打印每一个读取 到的行,awk读取的每一行都会执行该语句块
常用变量和操作符
$0 表示整个当前行
$1 每行第一个字段
NF 字段数量变量
NR 每行的记录号,多文件记录递增
FNR 与NR类似,不过多文件记录不递增,每个文件都从1开始
FS BEGIN时定义分隔符
RS 输入的记录分隔符, 默认为换行符(即文本是按一行一行输入)
OFS 输出字段分隔符, 默认也是空格,可以改为制表符等
ORS 输出的记录分隔符,默认为换行符,即处理结果也是一行一行输出到屏幕
-F'[:#/]' 定义三个分隔符
~ 匹配,与==相比不是精确比较
!~ 不匹配,不精确比较
== 等于,必须全部相等,精确比较
!= 不等于,精确比较
&& 逻辑与
|| 逻辑或
awk控制语句
控制语句if-else
语法:if(condition){statement;…}[else statement]
if(condition1){statement1}else if(condition2){statement2}
else{statement3}
此语句使用场景:对awk取得的整行或某个字段做条件判断
举例:
awk -F:'{if($3>=1000)print $1,$3}' /etc/passwd (小于1000不做处理,所以没有else)
awk 'BEGIN{ test=100;if(test>90){print "very good"}else if(test>60){print "good"}else{print "no pass"}}'
控制语句while
语法:while(condition){statement;...}
条件“真”,进入循环;条件“假”,退出循环
此语句使用场景:对一行内的多个字段逐一类似处理时使用;对数组中的各元素逐一处理时使用
举例:
awk '/^[[:space:]]*linux16/{i=1;while(i<NF){print $i,length($i);i++}}' /etc/grub2.cfg
控制语句do-while
语法:do {statement;...}while(condition)
无论真假,至少执行一次循环体
举例:
awk 'BEGIN{ sum=0;i=0;do{ sum+=i;i++;}while(i<=100);print sum }'
控制语句for
语法:for(expr1;expr2;expr3){statement;...}
举例:
awk '/^[[:space:]]*linux16/{for(i=1;i<=NF;i++){print $i,length($i)}}' /etc/grub2.cfg
控制语句break和continue
举例:
awk 'BEGIN{sum=0;for(i=1;i<=100;i++){if(i==66)break;sum+=i}print sum}'
awk 'BEGIN{sum=0;for(i=1;i<=100;i++){if(i%2==0)continue;sum+=i}print sum}'
awk数组
关联数组:array[index-expression]
index-expression:
(1)可以使用任意字符串;字符串要使用双引号括起来
(2)如果某数组元素事先不存在,在引用时,awk会自动创建此元素,并将其值初始化为“空串”
举例:
weekdays["mon"]="Monday"
awk 'BEGIN{weekdays["mon"]="Monday";weekdays["tue"]="Tuesday";print weekdays["mon"]}'
awk函数
数值处理:
rand():返回0和1之间一个随机数
举例:
awk 'BEGIN{srand();for (i=1;i<=10;i++)print int(rand()*100) }'
字符串处理:
length([s]):返回指定字符串的长度
sub(r,s,[t]):对t字符串进行搜索r表示的模式匹配的内容,并将第一个匹配的内容替换为s
举例:
echo "2008:08:08 08:08:08" | awk 'sub(/:/,"-",$1)'
gsub(r,s,[t]):对t字符串进行搜索r表示的模式匹配的内容,并全部替换为s所表示的内容
举例:
echo "2008:08:08 08:08:08" | awk 'gsub(/:/,"-",$0)'
split(s,array,[r]):以r为分隔符,切割字符串s,并将切割后的结果保存至array所表示的数组中,第一个索引值为1,第二个索引值为2....
举例:
netstat -tan | awk '/^tcp>/{split($5,ip,":");count[ip[1]]++} END{for (i in count) {print i,count[i]}}'
练习:
1、统计/etc/fstab文件中每个文件系统类型出现的次数
awk '/^UUID/{fs[$3]++}END{for(i in fs){print i,fs[i]}}' /etc/fstab
补充:
/^UUID/:模式匹配以UUID开头的行
fs[$3]++:定义fs[]为关联数组下标是每条记录的第3个字段,数组的值是出现的次数
for(i in fs){print i,fs[i]}:在每条记录都处理完后,用for循环遍历数组,打印下标(文件类型)和数组元素值(文件类型出现的次数)
2、统计/etc/fstab文件中每个单词出现的次数
awk '{i=1;while(i<=NF){word[$i]++;i++}}END{for(num in word){print num,word[num]}}' /etc/fstab
补充:
用while循环处理每条记录的每个字段,最主要的是每处理完一个字段要把i置为—,这样每处理完一个记录,关联数组被下一个记录的每个字段重新赋值
3、提取出字符串yd$C@M05MB%9&Bdh7dq+yVixp3vpw中的所有数字
echo "yd$C@M05MB%9&Bdh7dq+yVixp3vpw" | awk 'gsub(/[^[:digit:]]/," ",$0)'
补充:
gsub(r,s,[t]):对t字符串进行搜索r表示的模式匹配的内容,并全部替换为s所表示的内容,模式匹配用的是扩展正则表达式
4、解决DOS攻击生产案例:根据web日志或者网络连接数,监控当某个IP并发连接数或者短时间内PV达到100,即调用防火墙命令封掉对应的IP,监控频率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT
awk '{access[$1]++}END{for(i in access){if(access[i]>=100){print i,access[i]}}}' access_log
补充:
监控任务可以写到计划任务里,这里只使用awk实现过滤(access_log为apache访问日志)
谢谢浏览,多多评论哦。