对linux日志文件处理的问题

cnriver

在日志中找出su成root记录

怒剑狂啸

for(my $j = $#list2; $j >;= 0; $j--){   
       if (@list2[$j] =~ /$d.+Client (.+) control connection finished/) {
                $ip=$1;
                for(my $k = $#list2; $j >;= 0; $j--){   
       if (@list2[$j] =~ /$d.+Client (.+) control connection finished/) {

这段代码比较混乱，建议加上
use strict;
use warnings;
好好调试一下
另外“{”，“}”不配对，有5个“{”却只有3个“}”。仔细检查一下！

superdoctor

你的代码不是已经实现了么？

不过给你一些建议：
1、#!/usr/bin/perl -w
2、use strict;
3、用open while不要使用嵌入shell（文件可以少循环多次）
4、密码次数的问题定义一个HASH解决

cnriver

这是我的处女做，请多指教！

这段代码是可以实现我的目的，但这是第一次登录错误，就封ip地址。

怎么在里面加个循环，当检测到有3行“CTRL: Client 192.192.4.13 control connection finished ”，才封ip。比如这样：


May 12 10:36:14 redhat pptpd[4405]: CTRL: Client 192.192.4.13 control connection finished
May 12 12:36:14 redhat pptpd[3405]: CTRL: Client 192.192.4.13 control connection finished
May 12 15:36:14 redhat pptpd[34405]: CTRL: Client 192.192.4.13 control connection finished

怒剑狂啸

这段代码是可以实现我的目的

可以执行么？？？
那你可以加个循环并计数不就行了么？
也可以在执行之初用系统命令uniq -c 计数

superdoctor

怒剑狂啸,楼主的应用是不确定某个IP 会被封，所以每个IP 都需要记数（大于3时用IPTABLE封掉），如果使用循环记数的话时间复杂度呈指数级增长，不是合理的

使用一个HASH记录IP和次数，可以在每次判断也可以在最后判断就只需扫描文件一次即可完成

lenoning

请问楼主：
这个你是查询的messages日志还是哪个日志呢？
当你发现某个用户不能sudo为root后，
你怎么封锁他的IP呢？
谢谢了
我对IPTABLES还不熟悉！
盼指教