WK 数据过滤工具 (类似于grep,比grep强大)
Awk编程语言/数据处理引擎
创造者:Aho、Weinberger、Kernighan
基于模式匹配检查输入文本,逐行处理并输出
通常用在Shell脚本中,获取指定的数据,单独使用时,可对文本数据做统计
# which awk
# rpm -qf /bin/awk
语法格式:
格式1:前置命令 | awk [选项] ‘条件{编辑指令}'
格式2:awk [选项] ‘条件{编辑指令}' 文件...
编辑指令如果包含多条语句时,可以用分号分隔,处理文本时,若未指定分隔符,则默认将空格、制表符等作为分隔符。print是最常见的指令。
常用命令选项
-F:指定分隔符,可省略(默认空格或Tab位)
-V:调用外部Shell变量 variable
示例:提取密码,awk通过-v调用i变量
for i in $user
do
awk -F: -v X=$i
'$1==X{print X "---" $2}'
/etc/shadow
done
awk的内置变量
变量
用途
示例
FS
保存或设置字段分隔符,如FS=”:”
$n
指定分隔的第n个字段,如$1、$3分别表示第1、第3列
awk -F: '{print "用户名:"$1}' /etc/passwd
awk -F “:” '{print "第2列是:",$2}' a.txt
输出第1、7个字段# awk -F: '{print $1","$7}' a.txt
# awk -F ":" '{print $1","$7}' a.txt
分隔符用:或/ # awk -F [:/] '{print $1","$7}' a.txt
# free |awk '/Mem/{print $1,$2}'
输出文件的第1、2列:free |awk '{print $1,$2}'
查看root密码:awk -F: '/root/{print $2}' /etc/shadow
输出第1、3、12字段:uname -a | awk '{print $1,$3,$12}'
$0
当前读入的整行文本内容
NF
记录当前处理行的字段个数(列数)
#awk '{print NF}' a.txt
输出最后一列$NF:
#awk '{print “Last:”$NF}' a.txt
输出倒数第二列:
#awk '{print “Last:”$(NF-1)}' a.txt
NR
记录当前已读入行的数量(行数)
#awk '{print NR}' a.txt
FNR
当前行在源文件中的行号
#awk '{print “第”FNR”行”,“有“NF”列”}' a.txt b.txt
awk变量
243 awk '' /etc/passwd
244 awk '{print "hello"}' /etc/passwd
246 head -1 /etc/passwd
247 head -1 /etc/passwd | awk '{print "hello"}'
248 head -2 /etc/passwd | awk '{print "hello"}'
250 head -2 /etc/passwd | awk '1==2{print "hello"}'
252 awk '{print $0 }' a.txt
254 awk '{print "$0" }' a.txt
257 head /etc/passwd | awk -F ":" '{print $1}'
258 head /etc/passwd | awk -F ":" '{print $1,$7}'
259 head /etc/passwd | awk -F ":" '{print $1," "$7}'
260 head /etc/passwd | awk -F ":" '{print $1," ab"$7}'
262 head /etc/passwd | awk -F ":" '{print $1,"#"$7}'
263 head /etc/passwd | awk -F ":" '{print NF}'
265 awk -F ":" '{print NF}' a.txt
268 awk -F ":" 'NF==7{print $0}' a.txt
271 awk '{print NR}' a.txt b.txt
272 awk '{print FNR}' a.txt b.txt
273 awk '{print FNR,$0}' a.txt b.txt
274 awk 'FNR==2{print FNR,$0}' a.txt b.txt
275 awk 'FNR==2{print $0}' a.txt b.txt
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
awk自定义变量
1174 awk '{name="jim";print name}' a.txt
1175 awk '{name="jim";print $name}' a.txt
1177 awk '{age=21;name="jim";print name,age}' a.txt
++++++++++++++++++++++
1201 df -h
1202 df -h | grep /$
1203 df -h | grep /$ | awk '{print $2}'
1204 df -h | grep /$ | awk '{print $2}' | awk -F "G" '{print $1}'
# head -3 /etc/passwd | awk 'BEGIN{FS=":";print "name uid"}{print $1," "$3}END{print "sum lines "NR}'
+++++++++++++++++++++++++++++++++++++++++++++++++++++
示例:查看本机ip、内存、剩余磁盘容量
#!/bin/bash
clear
echo "本地IP地址为:"
ifconfig eth0 |awk '/inet/{print $2}'
echo "本机剩余内存:"
free |awk '/Mem/{print $4}'
echo "本机剩余磁盘容量:"
df |awk '//$/{print $4}' #找以/结尾的行
# tailf /var/log/secure 回车到屏幕为空白为止
再开一个虚拟机窗口:ssh ip ,输入错误密码
将/var/log/secure中所有密码失败的记录IP提取出来
#awk '/Failed/{print "攻击者是:",$11}' secure
# awk '/Failed/{print $11}' /var/log/secure |sort |uniq -c
# awk '/Failed/{print $11}' /var/log/secure >>ip.log 放到周期性计划中
或放到循环中,将输入错误密码的用户设置防火墙或黑名单
# uptime |awk '{print $1,$10}' 查看cpu使用率
awk可以打印常量:awk ‘{print “Hello Wrold”}’ a.txt //打印的内容与文件无关
{print “Hello Wrold ”} 为一个Tab键 为换行
Awk可以混合打印常量及变量:awk ‘{print “第“NR”行”“有“NF”列”}’ 文件
# awk -F: '{print "第"NR"行""有"NF"列"}' /etc/passwd
AWK过滤的时机
awk 选项 ‘条件{命令}’ 文件 ---》
awk [选项] ' BEGIN{编辑指令 } {编辑指令} END{编辑指令}' 文件
Ø 在所有行前处理,BEGIN{}
读入第一行文本之前执行(执行1次),一般用来初始化操作
Ø 逐行处理,{}
逐行读入文本执行相应的处理(1行执行1次),是最常见的编辑指令块
Ø 在所有行后处理,END{}
处理完最后一行文本之后执行(执行1次),一般用来输出处理结果
三者可单独使用,也可同时使用。 所有命令都要写在{}里
# awk 'BEGIN{print "你好"}'
列出用户名: # awk -F: 'BEGIN{print "用户名:"} /bash/{print $1}' passwd
输出预处理及处理完时的行数 # awk 'BEGIN{print NR} END{print NR}' a.txt
awk 'BEGIN{print "hello"}{print "a"}' a.txt
awk 'BEGIN{print "hello"}{print "a"}END{print "over"}' a.txt
提取IP地址:# ifconfig eth0 |awk -F: '/inet/{print $1}' |awk '{print $2}'
# ifconfig eth0 | grep "inet" | awk '{print $2}'
子网掩码:# ifconfig eth0 |awk -F"[ :]" '/inet/{print $13}'
提取根分区使用率:# df -hT / | tail -1 | awk '{print $6}'
列出a.txt有多少本书:
# awk 'BEGIN{print " 图书:"} {print $0} END{print "有"NR"本"}' a.txt
统计使用bash的用户个数:
#awk 'BEGIN{x=0} /bash$/{x++} END{print x}' /etc/passwd
打印/etc/passwd的用户名,uid,家目录:
# awk -F: 'BEGIN{print "用户 UID 家"}{print $1" " $3" " $NF}END{print "总计有" NR "行"}' /etc/passwd ## “ ”显示Tab制表位
AWK处理条件
所有行全部处理并输出吗?
怎么限制处理的条件?
根据多个条件来处理指定的行?
条件的表达形式? -正则表达式;数值/字符串比较;逻辑比较;运算符
awk '[条件] {编辑指令}' 文件...
1.没有条件,默认打印:# awk '/root/' /etc/passwd
与# grep "root" /etc/passwd 结果相同
1.正则表达式
/正则/ 匹配正则(行) # awk -F: '/root/' /etc/passwd
# awk -F: '/bash$/{print}' a.txt 以bash结尾的完整记录
~/正则/ 匹配正则(列) # awk -F: '$1~/root/' /etc/passwd
!~/正则/ 不匹配
#awk -F: '/^ro/{print}' /etc/passwd 列出以ro开头的用户记录
# awk -F: '/^[a-d]/{print $1,$6}' /etc/passwd 输出以a-d开头的用户名、宿主目录
输出其中用户名以a开头、登录Shell以nologin结尾的用户名、登录Shell
# awk -F: '/^a|nologin$/{print $1,$7}' /etc/passwd
输出其中宿主目录以bin结尾(对第6个字段做~匹配)的用户名、宿主目录信息:
# awk -F: '$6~/bin$/{print $1,$6}' /etc/passwd
输出其中登录Shell不以nologin结尾(对第7个字段做!~反向匹配)的用户名、登录Shell信息:#awk -F: '$7!~/nologin$/{print $1,$7}' /etc/passwd
2.字符或数字比较
比较符号: == != >= <= < >
#awk -F: ‘NR==2{print}’a.txt 输出第2行文本
#awk -F: ‘NR%2==1{print}’ a.txt 输出奇数行(行号NR除以2余数为1)文本
# awk -F: 'NR%2==0{print}' passwd.txt 输出偶数行(行号NR除以2余数为0)文本
#awk ‘$2!=”XX”{print}’a.txt 输出第2列不是XX的行
# awk -F: 'NR<=3{print}' a.txt 输出前3行文本
# awk -F: 'NR>=5{print}' a.txt 输出从第5行开始到文件末尾的所有行
输出当前用户的用户名、宿主目录、登录Shell信息:
# awk -F: '$1==ENVIRON["USER"]{print $1,$6,$7}' /etc/passwd
#awk -F: '$1=="root"{print}' /etc/passwd 输出用户名为root的行
# awk -F: '$3>1000' /etc/passwd 打印uid大于1000的用户
# awk -F: '$3==1000' /etc/passwd
#awk -F: '$3>=500{print $1,$3}' /etc/passwd
逻辑比较
逻辑与&&:期望多个条件都成立
逻辑或||:只要有一个条件成立即满足要求
#awk -F: '$3>=0&&$3<2{print $1,$3}' /etc/passwd 列出UID小于2的用户信息
#awk -F: '$3>=1&&$3<=100{print $1,$3}' /etc/passwd 列出UID在(1-100)的用户信息
#awk -F: '$1=="root"||$3>500' /etc/passwd
#awk -F: ‘$3==1||$3==7{print $1,$3}’ /etc/passwd 列出UID为1或7的用户信息
输出第3~5行文本:# awk -F: 'NR>=3&&NR<=5{print}' a.txt
# awk -F: '(NR>=3)&&(NR<=5){print}' a.txt
输出第3行和第5行文本:# awk -F: 'NR==3||NR==5{print}' a.txt
输出“登录Shell不以nologin结尾”或者“用户名以a或d开头”的文本:
# awk -F: '$7!~/nologin$/||$1~/^[ad]/{print}' a.txt
输出UID小于3或者UID是偶数的用户记录:
# awk -F: '$3<3||$3%2==0{print}' /etc/passwd
4.运算符(与数学运算符一致)
+ - * / % ++ -- += -= *= /= %=
不需要数据文件的预处理:# awk 'BEGIN{a=12;b=13;print a+b}'
# awk 'BEGIN{a=1.2;b=13;print a*b}'
# awk 'BEGIN{a=1.2;print a*b}' //未定义变量为空
# awk 'BEGIN{x=3;x++;print x}'
输出系统内建用户的个数
awk 'BEGIN{i=0;FS=":"}$3<1000{i++}END{print "内建用户的个数是" i}' /etc/passwd
输出系统外建用户的个数
awk 'BEGIN{i=0;FS=":"}$3>=1000{i++}END{print "外建用户的个数是" i}' /etc/passwd
输出系统总用户的个数
awk 'BEGIN{i=0;FS=":"}{i++}END{print "总用户的个数是 " i}' /etc/passwd
输出不能够登陆用户的个数
awk 'BEGIN{i=0;FS=":"}$7=="/sbin/nologin"{i++}END{print "no login 用户的个数是 " i}' /etc/passwd
统计系统中使用bash作为登录Shell的用户总个数:预处理时赋值变量x=0,然后逐行读入/etc/passwd文件检查,如果发现登录Shell是/bin/bash则x增加1,全部处理完毕后,输出x的值即可:# awk '/bash$/{x++} END{print x}' /etc/passwd
# awk 'BEGIN{x=0}/<bash$/{x++} END{print x}' /etc/passwd
效果与egrep -c '<bash$' /etc/passwd 相同
统计本机中普通用户的个数:# awk -F: '$3>=1000{x++} END{print x}' /etc/passwd
统计本机中系统用户的个数:# awk -F: '$3<1000{x++} END{print x}' /etc/passwd
在实际工作中,利用awk的这种处理流程可以完成许多更复杂的任务。
综计文件中以“:”分隔的总字段个数:(需要每处理一行时将当前行的字段数(内置变量NF)计和,因此可在BEGIN时定义一个初始变量,过程称求和,最后在END时输出结果)
# awk -F: 'BEGIN{x=0} {x+=NF} END{print "Total "x" fields."}' /etc/passwd
统计文本的总字段个数 #awk ‘BEGIN{i=0}{i+=NF}END{print i}’ a.txt
综合运用:
列出UID间于501~505的用户详细信息:
# awk -F: '$3>=501&&$3<=505{print}' /etc/passwd
输出/etc/hosts映射文件内以127或者192开头的记录:
# awk -F: '/^127|^192/{print}' /etc/hosts
列出100以内整数中7的倍数或是含7的数:
此操作无处理文件,正常思路应该是用Shell循环来完成;因为要求用awk来实现,如果不用循环,则根据逐行处理的思路,应该提供一个100行的文本对象(seq 100生成1-100的整数序列),然后将行号作为处理的整数,逐个判断并输出即可。
本任务中,行号与每行的实际文本值是一致的,那么根据NR或者$0行值进行判断都是可以的。输出100以内7的倍数或是包含7的数:
# seq 100 | awk 'NR%7==0||NR~/7/{print}'或: # seq 100 | awk '$0%7==0||$0~/7/{print}'
{print}可以省略,省略代表默认打印 # seq 100 | awk '$1%7==0||$1~/7/'
计算在200以内,能同时被3和13整除的整数个数:
# seq 200 |awk 'BEGIN{i=0}($0%3==0)&&($0%13==0){i++}END{print i}'
输出偶数行文本:
# awk 'BEGIN{i=0}FNR%2==0{print FNR,$0;i++}END{print "偶数行是" i "lines"}' a.txt
输出/etc/hosts映射文件内以127或者192开头的记录:
# awk '/^(127|192)/' /etc/hosts
示例:把/etc/passwd中能登录的用户及其密码(/etc/shadow)提取出来
找到使用bash作登录Shell的本地用户;列出这些用户的shadow密码记录
按每行“用户名 --> 密码记录”保存到getupwd.log
#/bin/bash
## 创建空文件
> /tmp/getupwd.log
## 提取用户名列表
NAME=`awk -F: '/:/bin/bash$/{print $1}' /etc/passwd`
## 通过for循环遍历用户名、查询密码记录,保存结果
for NAME in $NAME
do
grep "^$NAME:" /etc/shadow | awk -F: '{print $1" --> "$2 |
"cat >> /tmp/getupwd.log"}' /etc/shadow //模糊匹配
done
echo "用户分析完毕,请查阅文件 /tmp/getupwd.log" ## 完成后提示
# chmod +x getupwd-awk.sh
验证、测试脚本 # ./getupwd-awk.sh
或循环内采用命令://精确匹配
awk -F: -v x=$i '$1==x{print $1"----> "$2 |"cat >>/tmp/getupwd.log"}' /etc/shadow
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
awk流程控制
if(){真} else if(){真} else(){假}
分支结构 - if
单分支: if(条件){ 编辑指令}
判断系统用户和普通用户数量:
# awk -F: '{ } END{print x,y}' /etc/passwd ##先写好模板
if($3<1000){x++}else({y++} ##再写好判断
# awk -F: '{ if($3<1000){x++}else{y++} } END{print x,y}' /etc/passwd
#awk 'BEGIN{FS=":"}{ if($3<=10){print $0 ; i++}}END{print i}' /etc/passwd
# awk 'BEGIN{FS=":"}FNR>=20&&FNR<=30{if($3<=10){print $0 ; i++}} END{print "uid <=10 is " i}' /etc/passwd
统计/etc/passwd文件中UID小于或等于500的用户个数:
# awk -F: 'BEGIN{i=0}{if($3<=500){i++}}END{print i}' /etc/passwd
统计/etc/passwd文件中UID大于500的用户个数:
# awk -F: 'BEGIN{i=0}{if($3>500){i++}}END{print i}' /etc/passwd
统计/etc/passwd文件中登录Shell是“/bin/bash”的用户个数:
# awk -F: 'BEGIN{i=0}{if($7~/bash$/){i++}}END{print i}' /etc/passwd
统计/etc/passwd文件中登录Shell不是“/bin/bash”的用户个数:
# awk -F: 'BEGIN{i=0}{if($7!~/bash$/){i++}}END{print i}' /etc/passwd
双分支: if(条件){ 编辑指令1}else{ 编辑指令2}
#awk -F ":" '{ if($3<1000){ print $1 }else{ print $3,$1 } }' /etc/passwd
分别统计/etc/passwd文件中UID小于或等于500、UID大于500的用户个数:
# awk -F: 'BEGIN{i=0;j=0}{if($3<=500){i++}else{j++}}END{print i,j}' /etc/passwd
分别统计/etc/passwd文件中登录Shell是“/bin/bash”、 登录Shell不是“/bin/bash”的用户个数:
# awk -F: 'BEGIN{i=0;j=0}{if($7~/bash$/){i++}else{j++}}
END{print i,j}' /etc/passwd
多分支: if(条件){ 编辑指令1}else if(条件){ 编辑指令2}.... else if(条件){ 编辑指令N-1}else{编辑指令N}
#awk -F ":" '{ if($7=="/bin/bash"){ print $1 ,"ok login" }else if($7=="/sbin/nologin"){print $1,"no login"} else{ print $0 } }' /etc/passwd
分别统计/etc/passwd文件中登录Shell是“/bin/bash”、“/sbin/nologin”、其他的用户个数:# awk -F: 'BEGIN{i=0;j=0;k=0}{if($7~/bash$/){i++}
else if($7~/nologin$/){j++}else{k++}}END{print i,j,k}' /etc/passwd
循环结构
while (条件){循环体}
for(赋初值;条件;步长){循环体}
求词频:统计/etc/passwd文件内“root”出现的次数
—— 分析:以“:”或“/”做分隔,针对每一行的每一列进行比对,如果包含“root”,则次数加1。其中,逐行处理直接由awk完成,逐列处理交给while循环,通过i变量依次取$1、$2、……、$NF进行检查;变量j在预处理时赋值0,没匹配一个字段加1。
# awk -F [:/] 'BEGIN{j=0}{i=1}
{while(i<=NF){if($i~/root/){j++};i++}}
END{print j}' /etc/passwd
上一命令也可用另一条等效命令:
str=$(cat /etc/passwd)
echo $str |awk -F “root” ‘{print NF-1}’
实际应用时,上述操作可以简单处理,可通过命令替换将文件内容赋值给一个变量(变为一行文本),然后针对此变量值以目标字符串“root”作为分隔,获取总字段数-1即可得目标字符串的总数量:
# echo $(cat /etc/passwd) | awk -F "root" '{print NF-1}'
日常运用:日志(谁,访问什么)求频率
输出数字1-10: # awk 'BEGIN{ for(i=1;i<=10;i++){print i} }'
输出数字1-10: #awk 'BEGIN{ i=1 ; while(i<= 10){print i;i++} }'
运用:#awk 'BEGIN{ i=1 ; while(i<= 10){print "172.40.56."i;i++} }'
++++++++++++++++++++++++++++++++++++++++++++++++++++
其他控制语句
常用的中断、退出等awk指令
关键字
含义
示例
break
结束当前的循环体
continue
中止本次循环,转入下一次循环
exit
如果没有END{}则直接退出awk处理操作
awk 'BEGIN{ for(i=10;i<=20;i++){ print i } } '
awk 'BEGIN{ for(i=10;i<=20;i++){ print i ;break} } '
awk 'BEGIN{ for(i=10;i<=20;i++){break ; print i } } '
awk 'BEGIN{ for(i=10;i<=20;i++){ if(i==17){break} ; print i } } '
awk 'BEGIN{ for(i=10;i<=20;i++){ print i ; continue} } '
awk 'BEGIN{ for(i=10;i<=20;i++){ continue ; print i } } '
awk 'BEGIN{ for(i=10;i<=20;i++){ if(i==16||i==19){continue} ; print i } } '
awk 'FNR==7{exit}END{print FNR}' a.txt
awk '{exit}END{print FNR}' a.txt
awk 'FNR==11{exit}{print $0}' /etc/passwd
awk 'FNR<=10{print $0}' /etc/passwd
awk 'FNR==11{exit}{print $0}' /etc/passwd
awk '{exit}{print $0}' /etc/passwd
+++++++++++++++++++++++++++++++++++++++++++++++++++++
awk数组
定义数组:数组名[下标]=元素值
数组名["下标"]="元素值" ##下标不一定是数字,也可以是字符
使用数组:数组名[下标]
输出数组元素的值: print 数组名[下标]
# awk 'BEGIN{teagrp[1]="plj";teagrp[2]="hpg";print teagrp[2],teagrp[1]}'
//为数组teagrp赋值两个元素,值分别为plj、hpg
# awk 'BEGIN{stugrp["name"]="tom";stugrp["age"]=21;stugrp["sex"]="boy";print stugrp["name"],stugrp["sex"],stugrp["age"]}'
++++++++++++++++++++++++++
主机1(设:192.168.4.10)
#yum -y install httpd
#service httpd start
#tailf /var/log/httpd/access_log
主机2:(关闭防火墙)
#curl http://192.168.4.10
# ab -c 100 -n 10000 http://192.168.4.10/
有100人,快速访问服务器1万次,ab中acheBench软件的缩写。DOS攻击
主机1: #wc -l /var/log/httpd/access_log
遍历数组的专属循环结构:for(变量名 in 数组名){print 数组名[变量名]}
+++++++++++++++++++++++++++++++++++++++++++++++++++++
示例:分析Web日志的访问量排名,要求获得客户机的地址、访问次数,并且按照访问次数排名
在分析Web日志文件时,每条访问记录的第一列就是客户机的IP地址,其中会有很多重复的IP地址。通过awk提取信息时,利用IP地址作为数组下标,每遇到一个重复值就将此数组元素递增1,最终就获得了这个IP地址出现的次数。
ip[1]++=1,(因为ip[1]未定义,所以为空值)
针对文本排序输出可以采用sort命令,相关的常见选项为-r、-n、-k。其中-n表示按数字顺序升序排列,而-r表示反序,-k可以指定按第几个字段来排序。
1)提取IP地址及访问量
# awk '{ip[$1]++} END{for(i in ip) {print i,ip[i]}}' /var/log/httpd/access_log
2)对第1)步的结果根据访问量排名
# awk '{ip[$1]++} END{for(i in ip) {print i,ip[i]}}' /var/log/httpd/access_log | sort -nr -k 2
输出黑名单文件:
# awk '{ip[$1]++} END{for(i in ip) {print i,ip[i]}}' /var/log/httpd/access_log | awk ‘$1>=500{print $2}’ >>ip.log ##次数由工作性质来定
统计有哪些客户在登录,登录次数:
# who |awk '{IP[$1]++} END{for(i in IP){print i,IP[i]}}'
# head /etc/passwd | awk -F ":" '{ usergrp[$1]=$3}END{print usergrp["bin"]}'
# head /etc/passwd | awk '{i++}END{print i}'
# head /etc/passwd | awk '{usergrp[1]++;print usergrp[1] }'
# awk '{usergrp[$0]++}END{for(x in usergrp){print x,usergrp[x]} }' user.txt
# head /etc/passwd | awk -F ":" '{usergrp[i++]=$1}END{ for(x=0;x<=9;x++) {print "usergrp["x"]=" usergrp[x]} }'
# head /etc/passwd | awk -F ":" '{ usergrp[$1]=$3}END{for( x in usergrp){print x} }'
# head /etc/passwd | awk -F ":" '{ usergrp[$1]=$3}END{for( x in usergrp){print x,usergrp[x]} }'
# awk 'BEGIN{a[0]=1;a[1]=2;a[2]=3;
for(i in a){print a[i]} }'
# awk 'BEGIN{t[a]=1;t[b]=2;t[f]=3;
for(j in t){print t[j]} }'
原文链接:https://blog.csdn.net/jsut_rick/article/details/78287744
如侵权请联删