Уникальные IP-соединения в файле системного журнала
Я анализирую файлы системного журнала, которые были созданы в результате DDOS-атаки, и хотел бы создать список уникальных IP-соединений. Любая помощь очень ценится.
1 ответ
Решение
Предполагая, что IP/Hostname находится в поле 4:
cat /var/log/messages | cut -d\ -f 4 -|sort|uniq
Пример сообщения журнала:
May 29 18:27:30 10.101.11.31 Myprog[5291]: 20856: Mar 31 06:14:38 EDT: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0/29, changed state to up
Вы также можете попробовать такой инструмент, как LogZilla, который значительно облегчит анализ этих вещей.