论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-02-21 12:53 |只看该作者 |倒序浏览

匹配日志中的ip，假设一种极端情况，日志中有类似于999.168.92.132 这样的ip，请问如何过滤掉？只保留正常ip。
Feb 18 20:56:34 localhost sshd[2633]: Failed password for root from 999.168.92.132 port 2427 ssh2

在awk中我的写法如下，不知道错在哪了

awk '{for (count=1;count<=NF;count++){if ($count ~ /(2[0-4][0-9]|25[0-5]|[01]?[0-9][0-9]?)\.(2[0-4][0-9]|25[0-5]|[01]?[0-9][0-9]?)\.(2[0-4][0-9]|25[0-5]|[01]?[0-9][0-9]?)\.(2[0-4][0-9]|25[0-5]|[01]?[0-9][0-9]?))/) {print $count}}}'

复制代码

文库|博客

liaosnet

大富大贵

论坛徽章:: 11

2楼 [报告]

发表于 2009-02-21 13:17 |只看该作者

回复 #1 jean2e 的帖子

如果是正常连接,可能出现这样的IP吗？?~?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jean2e

稍有积蓄

论坛徽章:: 0

3楼 [报告]

发表于 2009-02-21 13:34 |只看该作者

肯定不能，这是自己胡思乱想的问题

挑战下正则水平

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

infernor

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2009-02-21 14:07 |只看该作者

也不一定要用正则来判断，大约的提取出来后，可以再判断是否小于255之类的

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

longmans163

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2009-02-21 22:07 |只看该作者

回复 #1 jean2e 的帖子

有点乱，如果格式固定的话可以考虑以下实现方法：
#!/bin/sh
#Feb 18 20:56:34 localhost sshd[2633]: Failed password for root from 999.168.92.132 port 2427 ssh2
string='Feb 18 20:56:34 localhost sshd[2633]: Failed password for root from 999.168.92.132 port 2427 ssh2'
ip_part=${string#*from}
ip=${ip_part% port*ssh2}
echo $ip

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ynchnluiti

巨富豪门

论坛徽章:: 3

6楼 [报告]

发表于 2009-02-22 00:51 |只看该作者

原帖由 longmans163 于 2009-2-21 22:07 发表
有点乱，如果格式固定的话可以考虑以下实现方法：
#!/bin/sh
#Feb 18 20:56:34 localhost sshd[2633]: Failed password for root from 999.168.92.132 port 2427 ssh2
string='Feb 18 20:56:34 localhost ss ...

这只是提取了from和port之间的内容

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

donggua0713

小富即安

论坛徽章:: 2

7楼 [报告]

发表于 2009-02-23 14:01 |只看该作者

突然不记得正则中（）和\1怎么用了，只有用笨写法：

more test | egrep "(\<(([1-9]|[1-9][0-9])|1[0-9][0-9]|2([0-4][0-9]|5[0-5]))\>)\.(\<(([1-9]|[1-9][0-9])|1[0-9][0-9]|2([0-4][0-9]|5[0-5]))\>)\.(\<(([1-9]|[1-9][0-9])|1[0-9][0-9]|2([0-4][0-9]|5[0-5]))\>)\.(\<(([1-9]|[1-9][0-9])|1[0-9][0-9]|2([0-4][0-9]|5[0-5]))\>)"

\<(([1-9]|[1-9][0-9])|1[0-9][0-9]|2([0-4][0-9]|5[0-5]))\> 这个严格匹配从1－255，重复4次。但第二次，第三次，第四次需要把第一个[1-9]换为【0－9】，以匹配0

[ 本帖最后由 donggua0713 于 2009-2-23 14:49 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

donggua0713

小富即安

论坛徽章:: 2

8楼 [报告]

发表于 2009-02-23 14:06 |只看该作者

回复 #1 jean2e 的帖子

(2[0-4][0-9]|25[0-5]|[01]?[0-9][0-9]?)

你这一段中，后面[01]?[0-9][0-9]?有问题，你这写法，可以匹配000，001，002等等0开头的数字。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

HH106

小富即安

论坛徽章:: 9

9楼 [报告]

发表于 2009-02-23 16:13 |只看该作者

原帖由 donggua0713 于 2009-2-23 14:01 发表
突然不记得正则中（）和\1怎么用了，只有用笨写法：

more test | egrep "(\<(([1-9]|[1-9][0-9])|1[0-9][0-9]|2([0-4][0-9]|5[0-5]))\>)\.(\<(([1-9]|[1-9][0-9])|1[0-9][0-9]|2([0-4][0-9]|5[0-5]))\>)\.(\<(([1-9]|[1-9][0-9])|1[0-9][0-9]|2([0-4][0-9]|5[0-5]))\>)\.(\<(([1-9]|[1-9][0-9])|1[0-9][0-9]|2([0-4][0-9]|5[0-5]))\>)"

\<(([1-9]|[1-9][0-9])|1[0-9][0-9]|2([0-4][0-9]|5[0-5]))\> 这个严格匹配从1－255，重复4次。但第二次，第三次，第四次需要把第一个[1-9]换为【0－9】，以匹配0

简化下
egrep "(\<([0-9]{1,2}|1[0-9]{2}|2[0-4][0-9]|25[0-5]\>)\.){3}\<([0-9]{1,2}|1[0-9]{2}|2[0-4]\d|25[0-5])\>" urfile