前言
在工作中为了防止一些恶意访问的行为,例如不断的请求刷流量,通过实时过滤Nginx访问日志,将单位时间内访问次数达到指定阀值的来源ip及时的通知系统管理员,这里通过邮件的方式通知。
监控脚本
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
#!/bin/bash
#日志文件
logfile=/opt/nginx/logs/www
#开始时间
start_time=`date -d”$last_minutes minutes ago” +”%H:%M:%S”`
#结束时间
stop_time=`date +”%H:%M:%S”`
#过滤出单位之间内的日志并统计最高ip数
tac $logfile/access.log | awk -v st=”$start_time” -v et=”$stop_time” {t=substr($4,RSTART+14,21);if(t>=st && t<=et) {print $0}} \
| awk {print $1} | sort | uniq -c | sort -nr > $logfile/log_ip_top10
ip_top=`cat $logfile/log_ip_top10 | head -1 | awk {print $1}`
# 单位时间[1分钟]内单ip访问次数超过200次,则触发邮件报警
if [[ $ip_top -gt 200 ]];then
/usr/bin/python /opt/tools/send_mail.py &
fi
?
1
chmod +x /opt/nginx/sbin/nginx_log_monitor.sh
定时任务
如上脚本监控一分钟内的日志,因此每分钟执行一次:
?
1
2
# crontab -e
*/1 * * * * /bin/bash /opt/nginx/sbin/nginx_log_monitor.sh
邮件告警
这里通过python实现发送邮件
?
1
# vim /opt/tools/send_mail.py
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
# -*- coding: utf-8 -*-
from email import encoders
from email.header import Header
from email.mime.text import MIMEText
from email.utils import parseaddr, formataddr
from email.mime.multipart import MIMEMultipart
from email.mime.base import MIMEBase
from datetime import datetime
import os
import smtplib
def _format_addr(s):
name, addr = parseaddr(s)
return formataddr((Header(name, utf-8).encode(), addr))
# 邮箱定义
smtp_server = smtp.exmail.qq.com
smtp_port = 465
from_addr = chenqingkang@qiniu.com
password = os.environ.get(MAIL_PASSWD)
to_addr = [810959120@qq.com]
# 邮件对象
msg = MIMEMultipart()
msg[From] = _format_addr(发件人 <%s> % from_addr)
msg[To] = _format_addr(收件人 <%s> % to_addr)
msg[Subject] = Header(Warning:单ip请求次数异常, utf-8).encode()
# 获取系统中要发送的文本内容
with open(/opt/nginx/logs/log_ip_top10, r) as f:
line = f.readline().strip()
line = line.split(” “)
print(line)
# 邮件正文是MIMEText:
html = <html><body><h2>一分钟内单ip请求次数超过阀值</h2> + \
<p>ip:%s 请求次数/min:%s</p> % (line[1],line[0]) + \
</body></html>
msg.attach(MIMEText(html, html, utf-8))
server = smtplib.SMTP_SSL(smtp_server, smtp_port)
server.login(from_addr, password)
server.sendmail(from_addr, to_addr, msg.as_string())
server.quit()
示例
写个脚本不停curl请求资源触发报警:
?
1
# vim curl.sh
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
#!/bin/bash
#example:curl.sh http://www.qingkang.me 100
usage()
{
echo “usage: `basename $0` url count”
}
if [ $# -ne 2 ]; then
usage
exit 1
fi
for i in `seq 1 $2`;do
http_code=`curl -o /dev/null -s -w %{http_code} $1`
echo $1 $http_code
done
?
1
2
3
4
5
6
# bash curl.sh http://qingkang.me/ 5
http://qingkang.me/ 200
http://qingkang.me/ 200
http://qingkang.me/ 200
http://qingkang.me/ 200
http://qingkang.me/ 200
调低阀值触发告警:
?
1
2
一分钟内单ip请求次数超过阀值
ip:115.231.182.82 请求次数/min:27
完善
这里仅实现了邮件告警功能,实际上还可以实现自动屏蔽恶意访问的ip。可以通过Nginx deny来实现,也可以iptables -I INPUT -s x.x.x.x -j DROP通过iptables屏蔽。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家能有一定的帮助,如果有疑问大家可以留言交流,谢谢大家对服务器之家的支持。
原文链接:http://qingkang.me/nginx-log-monitor.html
声明: 猿站网有关资源均来自网络搜集与网友提供,任何涉及商业盈利目的的均不得使用,否则产生的一切后果将由您自己承担! 本平台资源仅供个人学习交流、测试使用 所有内容请在下载后24小时内删除,制止非法恶意传播,不对任何下载或转载者造成的危害负任何法律责任!也请大家支持、购置正版! 。本站一律禁止以任何方式发布或转载任何违法的相关信息访客发现请向站长举报,会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。本网站的资源部分来源于网络,如有侵权烦请发送邮件至:2697268773@qq.com进行处理。