kangle的日志输出格式和nginx不一样吗

hackaq

看见了个nginx的 CC攻击告警脚本
用kangle试了下，应该是日志输出格式不一样，所以不成功，哪位大神看下这个脚本怎么改成kangle的日志格式
日志的开头的格式必须为例如 x.x.x.x - - [22/Nov/2017:13:20:02 -0500] "GET /xxxxxx HTTP/1.1" 200 3386，也就是IP在首列，时间格式与此示例相同，请求URL在第七列，请求长度在第十列，一般 nginx 日志的默认格式应该是这样，如果是其他的服务器软件或者日志格式不同请根据自己的情况魔改 sh脚本里的相关截取日志信息的代码

下图是默认是这个脚本的日志格式nginx测试成功，不知如何改为kangle的日志格式，kangle的CC攻击显示是在access.log还是server.log

shell

#临时文件
TMP_LOG=`mktemp`
TMP_IP_LIST=`mktemp`
TMP_LIST=`mktemp`

#得到部分日志
grep -h "$NOW_DATE" $LOG_FILES > $TMP_LOG
#得到IP访问量排序
grep -h "$NOW_DATE" $TMP_LOG | awk '{print $1}' | sort | uniq -c | sort -nr > $TMP_IP_LIST
#得到IP访问数据总大小'
IFS_old=$IFS
IFS=$'\n'
for LIST_LINE in `cat $TMP_IP_LIST`
do
        CUR_TIMES=`echo $LIST_LINE | awk '{print $1}'`
        CUR_IP=`echo $LIST_LINE | awk '{print $2}'`
        #判断重复请求次数
        CUR_REPEAT=`grep -h $CUR_IP $TMP_LOG | awk '{print $7}' | sort | uniq -c | sort -nr | head -1 | awk '{print $1}'`
        if [ "${1}x" = "--testx" ]; then
                echo -e "\033[033m[${NOW_DATE}x]\033[0m\t$CUR_TIMES\t$CUR_REPEAT\t$CUR_IP"
        fi
        if [ $CUR_REPEAT -ge $LIMIT_REPEAT ]; then
                echo "$CUR_IP REPEAT:$CUR_REPEAT>=$LIMIT_REPEAT" >> $TMP_LIST
        #判断访问量
        elif [ $CUR_TIMES -ge $LIMIT_TIMES ]; then
                TOTAL_FLOW=0
                #某IP的单条流量记录
                for LINE_LOG_FLOW in `grep -h $CUR_IP $TMP_LOG | awk '{print $10}'`
                do
                        TOTAL_FLOW=$((TOTAL_FLOW+LINE_LOG_FLOW))
                done
                #如果流量大于设定的最大流量值则Ban
                if [ $TOTAL_FLOW -ge $LIMIT_FLOW ]; then
                        echo "$CUR_IP FLOW:$TOTAL_FLOW>=$LIMIT_FLOW" >> $TMP_LIST
                fi
        fi
done

hackaq

小樱 发表于 2022/6/12 18:37
市面上大部分日志分析软件都支持kangle的日志
kangle的ip位置也是放在第一位的
获取ip列表例子例如

好的 会分享出来 小樱咱们有群吗 想没事多去学习