У меня есть журналы сервера, которые содержат такие данные, как sourceip="1.1.1.1"
и имя пользователя="аааа"
. Нужна команда для поиска всего файла журнала и поиска нескольких входов в систему с одного и того же IP-адреса, но с разными именами пользователей
ОС - Centos, и журналы выглядят так:
2020-06-22T07:46:04+01:00 srcip=1.1.1.1 user="abcdefg"
и я хотел бы, чтобы имя пользователя (имена) пробовал каждый ИП.
Использование perl:
$ cat file
2020-06-22T07:46:04+01:00 srcip=1.1.1.1 user="abcdefg"
2020-06-22T07:46:04+01:00 srcip=1.1.1.1 user="abcdefy"
2020-06-22T07:46:04+01:00 srcip=1.1.1.1 user="abcdefz"
2020-06-22T07:46:04+01:00 srcip=1.1.1.3 user="xxx"
perl -MRegexp::Common -lne '
push @{ $h->{$1} }, $2 if /srcip=($RE{net}{IPv4})\s+user="(\w+)"/;
END{print "$_=". join " ", @{ $h->{$_}} for keys %$h}
' file
Из трубы:
zgrep srcip <log_file> |
perl -MRegexp::Common -lne '
push @{ $h->{$1} }, $2 if /srcip=($RE{net}{IPv4})\s+user="(\w+)"/;
END{print "$_=". join " ", @{ $h->{$_}} for keys %$h}
'
1.1.1.3=xxx
1.1.1.1=abcdefg abcdefy abcdefz