#/bin/bash
#日志文件,可以根据需要改成你自己的路径
logfile=/www/wwwlogs/
#取出nginx一分钟内的日志
#Nginx日志格式:
# 192.168.0.161 - - [26/Mar/2015:14:29:20 +0800] "GET / HTTP/1.1" 200 2126 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36" -
#日志文件
#logfile=/data/logs/nginx/admin.kuaiyouxi.com.log
#开始时间
start_time=`date -d"$last_minutes minutes ago" +"%H:%M:%S"`
echo "$start_time"
#start_time="14:29:20"
#结束时间
stop_time=`date +"%H:%M:%S"`
echo "$stop_time"
#stop_time="14:35:36"
#过滤出单位之间内的日志并统计最高ip数,请替换为你的日志路径
tac $logfile/www.gwell.cc.log | awk -v st="$start_time" -v et="$stop_time" ' {t=substr($4,RSTART+14,21);if(t>=st && t<=et) {print $0}}' |awk '{print $1}'|sort | uniq -c | sort -nr > $logfile/log_ip_top10
ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`
ip=`cat $logfile/log_ip_top10 | awk '{if($1>100)print $2}'`
echo "一分钟内大于50次的IP"
echo "$ip"
# 单位时间[1分钟]内单ip访问次数超过2次的ip记录入black.txt,这里为了测试设置了2,你需要改成其它的数字
for line in $ip
do
echo $line >> $logfile/black.txt
if [ `/usr/bin/firewall-cmd --list-all|grep "$line"|wc -l` -ge 0 ]; then
/usr/bin/firewall-cmd --zone=public --add-rich-rule="rule family='ipv4' source address='$line' drop" --permanent
fi
done
/usr/bin/firewall-cmd --reload
