shell脚本江湖秘籍只传有缘人——流编辑器“三剑客”之awk命令

一、awk
- 1、工作原理
- 2、命令格式
- 3、awk常见的内建变量（可直接用）
- 4、按行输出文本
- 5、按字段输出文本':'
- 6、通过管道、双引号调用shell命令
二、awk实例
- 1、使用awk统计httpd访问日志中每个客户端IP的出现次数?
- 2、BEGIN命令使用示例
- 3、cpu负载,内存容量,硬盘空间,网卡流量,安装的软件包数量,账户数量,当前登录的账户数量,进程数量,输错密码的主机
- 4、提取本机IP地址，并进行二进制的转换输出
- 5、编写监控脚本,如果查到有人访问本机密码输错超过三次则警告

awk_1">一、awk

1、工作原理

逐行读取文本，默认以空格或TAB键为分隔符进行分隔，将分隔所得的各个字段保存到内建变量中，并按模式或者条件执行编辑命令。
sed命令常用于一整行的处理，而awk比较倾向于将一行分成多个“字段”然后再进行处理。
awk信息的读入也是逐行读取的，执行结果可以通过print的功能将数据字段打印显示。
在使用AWK命令的过程中，可以使用逻辑操作符"&&“表示"与”、"||"表示“或”、“！”表示“非”；还可以进行简单的数学运算，比如+ - * / % ^，分别表示加减乘除取余和乘方

2、命令格式

awk 选项 '模式或条件{操作}' 文件1 文件2.....
awk -f 脚本文件 文件1 文件2 ......

awk_14">3、awk常见的内建变量（可直接用）

内建变量	说明
FS	列分隔符。指定每行文本的字段分隔符，默认为空格或制表位。与’-F’作用相同
NF	当前处理的行的字段个数
NR	当前处理的行的行号（序数）
$0	当前处理的行的整行内容
$n	当前处理的行的第n个字段（第n列）
FILENAME	被处理的文件名
RS	行分隔符。awk从文件上读取资料时，将根据RS的定义把资料切割成许多条记录，二awk一次仅读入一条记录，以进行处理。预设值是’\n’

4、按行输出文本

awk '{print}' testfile2     #输出所有内容
awk '{print $0}' testfile2      #输出所有内容

awk 'NR==1,NR==3{print}' testfile2     #输出第1~3行内容
awk '(NR>=1)&&(NR<=3) {print}' testfile2  #输出第1~3行内容

awk 'NR==1||NR==3{print}' testfile2    #输出第1行、第3行内容

awk ' (NR%2)==1{print}' testfile2       #输出所有奇数行的内容
awk ' (NR%2)==0{print}' testfile2       #输出所有偶数行的内容

awk '/^root/{print}' /etc/passwd       #输出以root 开头的行

awk '/nologin$/{print}' /etc/passwd       #输出以nologin 结尾的行

awk 'BEGIN {x=0};/\/bin\/bash$/{x++};END {print x}' /etc/passwd     
#统计以/bin/bash结尾的行数，等同于
grep -c ”/bin/bash$" /etc/passwd

BEGIN模式表示，在处理指定文本之前，需要执行BEGIN模式中指定的动作，命令只执行一次；
awk再处理指定的文件，之后再执行END模式中指定的动作，END{}语句块中，往往会放入打印结果等语句。

在这里插入图片描述

5、按字段输出文本’:’

awk -F ":" '{print $3}' /etc/ passwd         #输出每行中(以空格或制表位分隔)的第3个字段

awk -F ":" '{print $1,$3}' /etc/passwd         #输出每行中的第1、3个字段

awk -E ":" '$3<5{print $1,$3}' /etc/passwd       #输出第3个字段的值小于5的第1、3个字段内容

awk -F ":” '!($3<200) {print}' /etc/passwd        #输出第3个字段的值不小于200的行
awk 'BEGIN {FS=":"}; {if($3>=1000) {print}}' /etc/passwd          #先处理完BEGIN的内容，再打印文本里面的内容

awk -F ":" '{max=($3>=$4)?$3:$4;{print max}}' /etc/ passwd
#($3>$4) ?$3:$4三元运算符，如果第3个字段的值大于等于第4个字段的值，则把第3个字段的值赋给max， 否则第4个字段的值赋给max

awk -F ":" '{print NR,$0}' /etc/passwd         #输出每行内容和行号，每处理完一条记录，NR值加1

awk -F ":" '$7~"/bash"{print $1}' /etc/passwd       #输出以冒号分隔且第7个字段中包含/bash的行的第1个字段

awk -F ":" '($1~"root")&& (NF==7) {print $1,$2}' /etc/passwd        #输出第1个字段中包含root且有7个字段的行的第1、2个字段

awk -F ":” '($7!="/bin/bash")&&($7!="/sbin/nologin") {print}' /etc/passwd    
   #输出第7个字段既不为/bin/bash，也不为/sbin/nologin的所有行

在这里插入图片描述

shell_87">6、通过管道、双引号调用shell命令

echo $PATHI awk 'BEGIN{RS=":"}; END{print NR}'     #统计以冒号分隔的文本段落数，END{}语句块中，往往会放入打印结果等语句

awk -F: '/bash$/{print | "wc -l"}' /etc/passwd     #调用wc -l命令统计使用bash的用户个数,等同于grep -c "bash$" /etc/passwd

free -m | awk ' /Mem:/ {print int ($3/ ($3+$4) *100)"%"}'     #查看当前内存使用百分比

top -b -n 1 | grep Cpu | awk -F ',' '{print $4}' | awk '{print $1}'     #查看当前CPU空闲率，(-b -n 1表示只需要1次的输出结果)

在这里插入图片描述

date -d "$(awk -F "." '{print $1}' /proc/uptime) second ago" +"&F %H:%M:%S"
#显示上次系统重启时间，等同于uptime; second ago为显示多少秒前的时间，+"%F %H: %M: %S"等同于+"%Y-%m-%d %H: %M: %S"的时间格式

awk 'BEGIN {n=0 ; while ("w” 1 getline) n++ ; {print n-2}}'   #调用w命令,并用来统计在线用户数

awk 'BEGIN {"hostname" | getline ; {print $0}}'         #调用hostname, 并输出当前的主机名 

当getline左右无重定向符“<”或“1”时，awk首 先读取到了第一-行， 就是1，然后getline，就得到了1下面的第二行，就是2，因为getline之后，awk会改变对应的NF，NR，FNR和$0等内部变量，所以此时的$0的值就不再是1，而是2了，然后将它打印出来。
当getline左右有重定向符“<”或“|”时，getline则作用 于定向输入文件，由于该文件是刚打开，并没有被awk读入- -行，只是getline读入，那么getline返回的是该文件的第一行，而不是隔行。

seq 10 | awk '{getline; print $0}'
seq 10 | awk '{print $0; getline}'

在这里插入图片描述

CPU使用率
cpu_us=`top -b -n 1 | grep Cpu | awk '{print $2}`
cpu_sy=`top -b -n1 | grep Cpu | awk -F ',‘ ’{print $2}' | awk '{print $1}'`
Cpu_sum=$ (($cpu_us+$cpu_sy))
echo $cpu_ sum

在这里插入图片描述

echo "A B C D" | awk '{OFS="|";print $0;$1=$1;print $0} '
A B C D
A|B|C|D

$1=$1是用来激活$0的重新赋值,也就是说
字段$1...和字段数NF的改变会促使awk重新计算$0的值，通常是在改变OFS后而需要输出$0时这样做

在这里插入图片描述

awk_140">二、awk实例

awkhttpdIP_141">1、使用awk统计httpd访问日志中每个客户端IP的出现次数?

awk '{ip[$1]++}END{for(i in ip){print ip[i],i}' /var/1og/httpd/access_log | sort -r

备注:定义数组，数组名称为ip,数字的下标为日志文件的第1列(也就是客户端的IP地址)，++的目的在于对客户端进行统计计数，客户端IP出现一次计数器就加1。END中的指令在读取完文件后执行，通过循环将所有统计信息输出，for循环遍历的是数组名ip的下标

2、BEGIN命令使用示例

awk 'BEGIN{a[0]=10;a[1]=20; print a[1]}'
awk 'BEGIN{a[0]=10;a[1]=20; print a[0]}'
awk 'BEGIN{a["abc"]=10;a["xyz"]=20;print a["abc"]} '
awk 'BEGIN{a["abc"]=10;a["xyz"]=20;print a["xyz"]}'
awk 'BEGIN{a["abc"]="aabbcc";a["xyz"]="xxyyzz";print a["xyz"]}'
awk 'BEGIN{a[0]=10;a[1]=20;a[2]=30;for(i in a){print i,a[i]}}'
PS1: BEGIN中的命令只执行一次
PS2: awk数组的下标除了可以使用数字，也可以使用字符串，字符串需要使用双引号

cat test. txt
aaa
aaa
bbb
ccC
aaa
bbk
aaa

awk '{a[1]++}END{for(i in a) {print a[i]}' test.txt
PS: a[1]初始为0，a[1]++后即为1，而这里awk中的a[1]++最终的值是由test.txt文本内容有多少行决定的，文本逐行读取完毕后再执行EN
D中的命令

awk '{a[$1]++}END{for(i in a){print a[i]}' test.txt | sort -r

3、cpu负载,内存容量,硬盘空间,网卡流量,安装的软件包数量,账户数量,当前登录的账户数量,进程数量,输错密码的主机

uptime, free -m,df -h, ifconfig ens33, rpm -qalwc -1, /etc/passwd, who,ps aux，/var/ 1og/ secure

cpu='uptime | awk ' {print $NF}' “
#awk中NF为当前行的列数，$NE是最后一列
echo "本机CPU最近15分钟的负载是:"$cpu
net_in=`ifconfig ens33 | awk '/RX p/{print $5}'`
echo "入站网卡流量为:"$net_in
net_out=`ifconfig ens33 | awk '/TX p/{print $5}'`
echo "出站网卡流量为:"$net_out
mem='free -m | awk '/^Mem/{print $4) "
echo "内存剩余容量为:"$mem
disk='df -h | awk '/sda1/{print $4}''
echo "根分区剩余容量为:"$disk
user='cat /etc/passwd | wc -l`
echo "本地账户数量为: "$user
login=`who | wc -l`
echo " 当前登陆计算机的账户数量为:"$login
process=`ps aux | wc -l`
echo”当前计算机启动的进程数量为: "$process
soft=`rpm -qa | wc -l`
echo "当前计算机已安装的软件数量为:"$soft

#过滤密码失败的命令
awk '/Failed password/{ip[$11]++}END{for(i in ip){print i","ip[i],i}}' /var/log/secure | awk '$1>3{print $2}'
awk '/Invalid user/{print $10}' /var/1og/secure | awk '{ip[$1]++}END{for(i in ip){print ip[i],i}}' | awk '$1>3{print $2}`

4、提取本机IP地址，并进行二进制的转换输出

#获取IP
ifconfig | awk '(NR==2) {print $2}'

#分字段操作
ifconfig |awk '(NR==2) {print $2}' | awk 'BEGIN {RS="."} ; {print} ' 

#对分段后的IP地址赋值给一个变量
x=`ifconfig |awk '(NR==2) {print $2}' | awk 'BEGIN {RS="."} ; {print} '`

#进行外层循环，四次
for a in $x
do
     #进行内循环，选用减法进行循环，如果外层循环的值比被减数大，则取余数，并输出1；反之则输出0，且不取减法结果。   
     for ((i=1;i<=255;i+=$i))
     do
       m=$[128/$i]
       sum=$[$a-$m]
          if [ $a -ge $m ]
          then
          a=$[$a-$m]
          echo -n "1"  #不换行输出
          else
          echo -n "0"  #不换行输出
          fi
     done

echo  " "  #进行系统默认的空格换行操作
done   > 123.txt
      #进行结果的输出，并把结果中的空格全部替换成 "."号 

IP="`cat 123.txt`"
echo $IP | sed 's/ /./g'

5、编写监控脚本,如果查到有人访问本机密码输错超过三次则警告

#!/bin/bash
x=^ awk ' /Failed/{ip[$11]++}END{for(i in ip){print i","ip[i]}}' /var/log/secure
#190.168.80.13 3
for j in $X
do
#echo $j
ip='echo $j | awk -F ",”'{print $1}'`
num=' echo $j | awk -F ","I '{print $2}'`
#echo $num
if[ $num -ge 3];then
	echo“警告! $ip访问本机失败了$num次，请速速处理!“
done