写了一个分析tomcat访问日志的脚本，如有偏颇，大神！请斧正。

日志示例：

Tomcat访问日志

该日志的输出格式，是可以自己设置的，在tomcat的server.xml中，如下：

<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true"> <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t &quot;%r&quot; %s %b" /> </Host>

pattern参数

普通参数：

％a - 远程IP地址

％A - 本地IP地址

％b - 发送的字节数，不包括HTTP头，或“ - ”如果没有发送字节

％B - 发送的字节数，不包括HTTP头

％h - 远程主机名

％H - 请求协议

％l (小写的L)- 远程逻辑从identd的用户名（总是返回' - '）

％m - 请求方法

％p - 本地端口

％q - 查询字符串（在前面加上一个“？”如果它存在，否则是一个空字符串

％r - 第一行的要求

％s - 响应的HTTP状态代码

％S - 用户会话ID

％t - 日期和时间，在通用日志格式

％u - 远程用户身份验证

％U - 请求的URL路径

％v - 本地服务器名

％D - 处理请求的时间（以毫秒为单位）

％T - 处理请求的时间（以秒为单位）

％I （大写的i） - 当前请求的线程名称

高级参数：

％{XXX}i xxx代表传入的头(HTTP Request)

％{XXX}o xxx代表传出的响应头(Http Resonse)

％{XXX}c xxx代表特定的Cookie名

％{XXX}r xxx代表ServletRequest属性名

％{XXX}s xxx代表HttpSession中的属性名

shell脚本：

#!/bin/bash

time=$(date "+%Y-%m-%d");

time2=$(date "+%Y-%m-%d-%H-%M-%s");

filename=localhost_access_log."$time".txt;

echo '当前日期：'$time;

echo '文件名：'$filename;

i=0;#循环变量

#创建日志目录

if [ ! -d "$(pwd)/exceptionrequest" ]; then

mkdir $(pwd)/exceptionrequest;

fi

if [ ! -d "$(pwd)/normalrequest" ]; then

mkdir $(pwd)/normalrequest;

fi

if [ ! -d "$(pwd)/exceptionrequestanalysis" ]; then

mkdir $(pwd)/exceptionrequestanalysis;

fi

if [ ! -d "$(pwd)/exceptionrequestip" ]; then

mkdir $(pwd)/exceptionrequestip;

fi

#判断当日的访问日志是否存在以及内容分是否为空

if test -s $filename

then

while read line

do

echo $line>>cop_localhost_accsse_$time2.txt;

done<$filename;

:>$filename;

grep -v "项目名\| / HTTP\|favicon.ico" cop_localhost_accsse_$time2.txt>>$(pwd)/exceptionrequest/exceptionrequest_$time2.txt;

grep "项目名\| / HTTP\|favicon.ico" cop_localhost_accsse_$time2.txt>>$(pwd)/normalrequest/normalrequest_$time2.txt;

if test -s "$(pwd)/exceptionrequest/exceptionrequest_$time2.txt";then

while read line

do

echo '-------------------------------------------------------'>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt

for line2 in $line

do

if [ $i == 0 ]; then

echo '访问IP：'$line2>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt

#echo $line2>>mylog_$time2.txt

if test -s "$(pwd)/exceptionrequestip/ip_$time2.txt";then

#去重

if ! grep -q "$line2" $(pwd)/exceptionrequestip/ip_$time2.txt;then

echo $line2>>$(pwd)/exceptionrequestip/ip_$time2.txt

fi

else

echo $line2>>$(pwd)/exceptionrequestip/ip_$time2.txt

fi

elif [ $i == 3 ]; then

echo '访问时间：'${line2:1}>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt

elif [ $i == 5 ];then

echo '请求方式：'${line2:1}>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt

elif [ $i == 6 ];then

echo '请求内容：'$line2>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt

elif [ $i == 7 ];then

echo '协议：'${line2%\"*}>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt

elif [ $i == 8 ];then

echo '状态码：'$line2>>$(pwd)/exceptionrequestanalysis/analysis_$time2.txt

fi;

((i++));

done;

i=0;

done<$(pwd)/exceptionrequest/exceptionrequest_$time2.txt;

else

echo '当次分析无异常请求'>>$(pwd)/exceptionrequest/exceptionrequest_$time2.txt

fi

if test -s "$(pwd)/exceptionrequestip/ip_$time2.txt";then

while read line4

do

#echo $line4;

iptables -I INPUT -s $line4 -j DROP;

done<$(pwd)/exceptionrequestip/ip_$time2.txt

else

echo '当次分析无异常请求的IP'>>$(pwd)/exceptionrequestip/ip_$time2.txt;

fi

echo $time2-'日志分析完成'>>loganalysis.log;

else

echo $time2-'暂无访问日志'>>loganalysis.log;

fi

使用：

1、脚本放在tomcat/log目录中，用crontab设置为定时脚本，每隔一段时间执行一次（时间段自定）；

2、异常分析：用以下语句进行分析

grep -v "项目名\| / HTTP\|favicon.ico" filename------>可自行重新设定

3、脚本日志产出：

每执行一次，都会有日志产出，日志及说明（  下文中 $(pwd)：脚本所在目录，下文中$time2：脚本当次执行时的日期与时间    ）：

$(pwd)/exceptionrequest/exceptionrequest_$time2.txt：异常请求（若当次分析无异常请求，则日志内容为“当次分析无异常请求”否则为异常请求的访问日志）

$(pwd)/normalrequest/normalrequest_$time2.txt;：正常请求

$(pwd)/exceptionrequestanalysis/analysis_$time2.txt：异常请求分析日志（若无异常请求则无该文件）

$(pwd)/exceptionrequestip/ip_$time2.txt：异常请求IP（若当次分析无异常请求，则日志内容为“当次分析无异常请求的IP”否则为异常请求的IP）

loganalysis.log：该文件位于脚本所在目录，是脚本执行结果（内容为$time2-'日志分析完成' 或 $time2-'暂无访问日志'）

cop_localhost_accsse_$time2.txt：该文件位于脚本所在目录，是每次分析的访问日志的备份

4、注意：

执行完后，tomcat访问日志被清空，以防下次分析重复的日志，若需要历史访问日志请翻阅备份cop_localhost_accsse_$time2.txt

脚本中禁止ip访问所用语句为：  iptables -I INPUT -s "IP" -j DROP;  如有必要可自行改动