Traffic: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
K (Einen Backslash raus - funktioniert aber immer noch nicht) |
|||
| Zeile 11: | Zeile 11: | ||
<pre><nowiki> | <pre><nowiki> | ||
cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \ | cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \ | ||
|while read FACTOR SUM; do | |while read FACTOR SUM; do | ||
echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}"; | echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}"; | ||
done |sort -n | done |sort -n | ||
</nowiki></pre> | </nowiki></pre> | ||
Version vom 14. November 2014, 07:26 Uhr
Traffic
Als Traffic bezeichnet man Datenverkehr zwischen zwei Computersystemen.
Dies beinhaltet Web, Mail und FTP Verbindungen.
Traffic erkennen
Wie bekomme ich heraus, welche Web-Zugriffe für mein Traffic-Volumen maßgeblich verantwortlich sind?
cat var/web.log |cut -d ' ' -f11 |sort -n |uniq -c |sed -e's/^ *//' \
|while read FACTOR SUM; do
echo "$((${FACTOR} * ${SUM})) ${FACTOR} ${SUM}";
done |sort -n
- Zeile 1: Traffic aus dem Log extrahieren, sortieren, zählen.
- Zeile 2: über die Einträge wandern
- Zeile 3: Product aus Zugriffen und Einzelvolumen berechnen
- Zeile 4: Ausgabe von Produkt, Zugriffen und Einzelvolume je Zugriff
- Zeile 5: sortieren
(Bemerkung: das Produkt aus Einzelvolumen und Häufigkeit der Zugriffe ist entscheidend.)
Wie bekomme ich IPs mit massenhaften Web-Zugriffen erkannt und gesperrt?
Als Paketadmin alle IPs mit 10.000 und mehr Web-Zugriffen aus dem heutigen Log filtern und dafür Sperreinträge erzeugen, die man in die .htaccess kopieren kann:
cat ${HOME}/var/web.log |cut -d ' ' -f2 |sort |uniq -c \
|sed -e's/^ *//' |egrep '^[0-9]{5,} .*$' |cut -d ' ' -f 2 \
|xargs -n1 -r -I XXX "echo deny from XXX"
- Zeile 1: Log auswerten und IPs extrahieren und zählen
- Zeile 2: Filtern
- Zeile 3: Einträge erzeugen
Es bietet sich in beiden Fällen an, im Logfile mit grep nach den IPs oder dem Vorkommen des Traffics mit grep zu suchen, um weitere Erkenntnisse zu erlangen.