一天一个 Linux 命令（21）：awk 命令

awk [POSIX or GNU style options] -f progfile [--] file ...
awk [POSIX or GNU style options] [--] 'program' file ...
awk '{pattern + action}' {file}
awk [选项参数] 'script' var=value file(s)
awk [选项参数] -f scriptfile var=value file(s)

Usage: awk [POSIX or GNU style options] -f progfile [--] file ...
Usage: awk [POSIX or GNU style options] [--] 'program' file ...
POSIX options:          GNU long options: (standard)
        -f progfile             --file=progfile
        -F fs                   --field-separator=fs
        -v var=val              --assign=var=val
Short options:          GNU long options: (extensions)
        -b                      --characters-as-bytes
        -c                      --traditional
        -C                      --copyright
        -d[file]                --dump-variables[=file]
        -e 'program-text'       --source='program-text'
        -E file                 --exec=file
        -g                      --gen-pot
        -h                      --help
        -L [fatal]              --lint[=fatal]
        -n                      --non-decimal-data
        -N                      --use-lc-numeric
        -O                      --optimize
        -p[file]                --profile[=file]
        -P                      --posix
        -r                      --re-interval
        -S                      --sandbox
        -t                      --lint-old
        -V                      --version

To report bugs, see node `Bugs' in `gawk.info', which is
section `Reporting Problems and Bugs' in the printed version.

gawk is a pattern scanning and processing language.
By default it reads standard input and writes standard output.

Examples:
        gawk '{ sum += $1 }; END { print sum }' file
        gawk -F: '{ print $1 }' /etc/passwd

-f progfile,--file=progfile 从文件progfile中读取AWK程序源代码，而不是从第一个命令行参数中读取。
可以使用多个-f(或——file)选项。

-F fs,--field-separator=fs  使用fs作为输入字段分隔符(fs预定义变量的值)。

-v var=val,--assign=var=val 在程序开始执行之前，给变量var赋值val。这样的变量值是AWK程序的BEGIN块可用。
-b,--characters-as-bytes 将所有输入数据视为单字节字符。换句话说，当试图将字符串处理为多字节字符时，不要注意任何语言环境信息。

-c,--traditional 在兼容性模式下运行。在兼容模式下，gawk的行为与UNIX awk相同;没有一个GNU可以识别特定的扩展。
-C,--copyright 在标准输出上打印GNU版权信息的简短版本并成功退出。

-d[file,--dump-variables[=file] 打印一个排序的全局变量列表，它们的类型和最终值到文件

-e 'program-text',--source='program-text' 使用程序文本作为AWK程序源代码

-E file,--exec=file,与-f类似，这个选项是最后处理的选项

-g,--gen-pot 扫描并解析AWK程序，并在标准输出上生成一个GNU .pot(可移植对象模板)格式文件，其中包含程序中所有可本地化字符串的条目

-h,--help

-L [fatal],--lint[=fatal] 对可疑的或不可移植到其他AWK实现的构造提供警告

-n,--non-decimal-data 识别输入数据中的八进制和十六进制值

-N,--use-lc-numeric 迫使gawk在解析输入数据时使用语言环境的小数点字符

-O,--optimize 启用优化程序的内部表示 
-p[file],--profile[=file] 发送分析数据到profile
-P,--posix 打开兼容性模式
-r,--re-interval 在正则表达式匹配中启用间隔表达式
-S,--sandbox 在沙箱模式下运行gawk
-t,--lint-old 提供关于不能移植到Unix awk原始版本的构造的警告
-V,--version 在标准输出上打印gawk的这个特定副本的版本信息

awk [-F field-separator] 'commands' input-file(s)

awk -f awk-script-file input-file(s)

-x : 负值
+x : 转换为数值
x^y :
x**y : 次方
x*y : 乘法
x/y : 除法
x+y : 加法 
x-y : 减法
x%y : 取模

=
+=
-=
*=
/=
%=
^=
**=
++
--

x<y
x<=y
x>y
x>=y
x==y
x!=y
x~y
x!~y

&&
||
!

func_name(argu1,argu2,....)

selector?if-true-expression:if-false-expression

#example:
awk -F: '{$3>=1000?usertype="Common user":usertype="Sysadmin or sysUser";printf "%15s:%-s\n",$1,usertype}' /etc/passwd

FS: input field seperator,输入的分隔符，默认为空格

OFS: output field seperator,输出的分隔符，默认为空格

RS: input record seperator,输入的换行符

ORS: output record seperator,输出时的换行符

NF: number of field ,字段个数

#example:
awk '{print NF}' /etc/passwd :打印每行的最后一个字段为第几个字段，这里是数量引用，不是对应的值引用
awk '{print $NF}' /etc/passwd : 打印每行中的最后一个字段

NR: number of record,文件中的行数

#example:
awk '{print NR}' /etc/passwd: 打印行号，其会个行号都显示
awk 'END{print NR}' /etc/passwd: 显示文本的总行数，其只是在文本处理完成后，只显示一次行号
awk '{print NR}' file1 file2 : 会每把所有文档进行总的编号，而不是单独对文件进行编号

FNR: 对每个文件进行行数单独编号

#example:
awk '{print FNR}' file1 file2 : 会对每个文件的行数进行单独的编号显示

FILENAME : awk命令所处理的文件的名称

#example:
awk '{print FILENAME}' file1 : 显示当前文件名，但会每行显示一次
awk 'END{print FILENAME}' file1 : 显示当前文件名，但只会显示一次

ARGC: 命令行中参数的个数，其awk命令也算一个参数

#example:
awk 'END{print ARGC}' /etc/passwd : 显示共有几个参数

ARGV : 其是一个数组，保存的是命令行所给定的各参数

#example:
awk 'END{print ARGV[0]}' /etc/passwd : 显示第一个参数，默认第一个参数个awk命令本身

-v var=VALUE : 在选项位置定义

#example:
#变量在program中定义时，需要使用引号引起来
awk 'BEGIN{test="hello";print test}' : 在program中定义

print
1、各项目之间使用逗号隔开，而输出时则以空白字符分隔
2、输出的item可以为字符串或数值，当前记录的字段（如$1）、变量或awk的表达式，数值会先转换为字符串，而后再输出
3、print命令后面的item可以省略，此时其功能相当于print $0,因此，如果想输出空白行，则需要使用print""
4、如果引用变量$1或其他的，是不能使用引号引起来

printf
1、其与print命令最大不同是，printf需要指定format
2、printf后面的字串定义内容需要使用双引号引起来
3、字串定义后的内容需要使用","分隔，后面直接跟item1,item2....
4、format用于指定后面的每个item的输出格式
5、printf语句不会自动打印换行符，\n

%c: 显示字符的ASCII码
%d,%i : 显示十进制整数
%e,%E: 科学计数法数值显示
%f : 显示为浮点数
%g,%G: 以科学数法或浮点形式显示数值
%s: 显示字符串
%u: 无符号整数
%%: 显示%号自身，相当于转义

N: 显示宽度
-: 左对齐（默认为右对齐）
+: 显示数值符号

#example:
awk -F: '{printf "%s\n",$1}' /etc/passwd
awk -F: '{printf "username: %s,UID:%d\n",$1,$3}' /etc/passwd
awk -F: '{printf "username: %-20s shell: %s\n",$1,$NF}' /etc/passwd

print items > "output-file"

print items >> "output-file"

print items | command

特殊文件描述符：
/dev/stdin :标准输入
/dev/stdout:标准输出
/dev/stderr:错误输出
/dev/fd/N : 某特定文件描述符，如/dev/stdin就相当于/dev/fd/0

#example:
awk -F: '{printf "%-15s %i\n",$1,$3 > "/dev/stderr"}' /etc/passwd

awk [option] 'PATTERN{action}' file1,file2....

1.REGEXP：正则表达式，格式为/regular expression/,仅处理能够被此处模式匹配到的行

#example:
awk '/^root/{print $1}' /etc/passwd
awk '!/^root/{print $1}' /etc/passwd


relational expression:表达式，其值非0或为非空字符时满足条件,用运算符~(匹配)和!~（不匹配）

$1 ~ /foo/ 或者 $1 == "magedu"


2.Ranges : 指定匹配范围，格式为/pat1/,/pat2/

#example:
awk -F: '(NR>=2&&NR<=10) {print $1}' /etc/passwd
awk -F: '/^root/,/^myuser/{print $1}' /etc/passwd
注意：不支持直接给出数字的格式

3.EGIN/END模式 : 特殊模式，仅在awk命令执行前运行一次或结束前运行一次

#example:

#先打印一个表头
awk -F: 'BEGIN{print "Username    ID    Shell"}{printf "%-10s%-10s%-20s\n",$1,$3,$7}' /etc/passwd

#打印一个表尾
awk -F: 'BEGIN{print "username   ID     Shell"}{printf "%-10s%-10s%-20s\n",$1,$3,$7}END{print "end of report."}' /etc/passwd

4.Empty(空模式)：匹配任意输入行
/正则表达式/：使用通配符的扩展集。
关系表达式：可以用下面运算符表中的关系运算符进行操作，可以是字符串或数字的比较，如$2>$1选择第二个字段比第一个字段长的行。
模式匹配表达式：
模式，模式：指定一个行的范围。该语法不能包括BEGIN和END模式。
BEGIN：让用户指定在第一条输入记录被处理之前所发生的动作，通常可在这里设置全局变量。
END：让用户在最后一条输入记录被读取之后发生的动作。

if (condition){then-body} else{[else-body]}

#example:
awk -F: '{if($3>=1000)print $1,$3,$7}' /etc/passwd

awk -F: '{if($3>=1000){printf "Common user: %s\n",$1} else {printf "root or sysuser: %s\n",$1}}' /etc/passwd

awk -F: '{if($NF=="/bin/bash")print $1}' /etc/passwd

awk -F: '{if(NF>=7) print $0}' /etc/passwd

#有问题
df -h | awk -F[%] '/^/dev/{print $1}' | awk {if($NF>=20) print $1}'

awk -F: '{if($1=="root") print $1,"Admin";else print $1, "Common User"}' /etc/passwd

awk -F: '{if($1=="root") printf "%-15s: %s\n",$1,"Admin";else printf "%-15s: %s\n",$1, "Common user"}' /etc/passwd

#统计用户ID大于500的有多少行
awk -F: -v sum=0 '{if($3>=500) sum++}END{print sum}' /etc/passwd
#可以使用\t制表符控制 输出格式
awk -F: -v OFS="\t" '{if($3<=999)printf "Sys user:\t%-15s ID is :%d\n", $1,$3;else{printf "Common user:\t%-15s ID is :%d\n",$1,$3}}' /etc/passwd

while (condition){statement1;statment2;....}

#example:
awk '/^[[:space:]]*linux16/{print}' /boot/grub2/grub.cfg

#对每个字段进行字符个数统计
awk '/^[[:space:]]*linux16/{i=1;while(i<=NF){print $i,length($i);i++}}' /etc/grub2.cfg
awk '/^[[:space:]]]*linux16/{i=1;while(i<=NF){if(length($i)<=7)print $i,length($i);i++}}' /etc/grub2.cfg

#打印用户名、密码占位符、ID
awk -F: '{i=1;while(i<=3){print $i;i++}}' /etc/passwd

#字段大小大于等于4的都显示
awk -F: '{i=1;while(i<=NF){if(length($i)>=4){print $i};i++}}' /etc/passwd

do {statement1,statement2,....} while (dondition)

#example:
#打印用户名、密码占位符、UID
awk -F: '{i=1;do{print $i;i++}while(i<=3)}' /etc/passwd

for(variable assignment;condition;iteration process){ statement1,statement2,...}

#example:
awk '/^[[:space:]]*linux16/{for(i=1;i<=NF;i++) {print $i,length($i)}}' /etc/grub2.cfg
awk -F: '{for(i=1;i<=3;i++)print $i}' /etc/passwd
awk -F: '{for(i=1;i<=NF;i++) { if (length($i)>=4) {print $i}}}' /etc/passwd

for (i in array) {statement1,statement2,....}

#example:
awk -F: '$NF!~/^$/{BASH[$NF]++}END{for(A in BASH){printf "%15s:%i\n",A,BASH[A]}}' /etc/passwd

awk '{for(i=1;i<=NF;i++){count[$i]++}}END{for(i in count) {print i,count[i]}}' /etc/fstab

#统计/etc/fstab中各文件系统的次数
awk '/^UUID/{filesystem[$3]++}END{for (i in filesystem) {print i,filesystem[i]}}' /etc/fstab

#统计各连接状态的次数
netstat -ant | awk '/^tcp/{state[$NF]++}END{for(i in state) {print i,state[i]}}'

#统计访问日志中各IP的访问次数
awk '{ip[$1]++} END {for (i in ip) {print i,ip[i]}}' /data/log/nginx/access.log

switch (expression) { case VALUE or /REGEXP/: statement1, statement2,... default: statement1, ...}

break [n]
continue : 进入下一个字段

#功能：提前结束本行文本的处理，并接着处理下一行

#example:
awk -F: '{if($3%2==0) next;print $1,$3}' /etc/passwd
awk -F: '{if($3%2!=0) next;print $1,$3}' /etc/passwd

1、可使用任意字符串，字符串要使用双引号
2、如果某数组元素事先不存在，在引用时awk会自动创建此元素，并将其初始化为空串
3、要遍历数组中的每个元素，要使用for循环
for(var in array){statement1,.....}
#  注意：var用于引用数组时，是引用的下标，而不是元素值

awk 'BEGIN{weekdays["mon"]="Monday";weekdays["tue"]="Tuesday";print weekdays["mon"]}'

统计netstat -ant中各状态的次数

#每出现一被/^tcp/模式匹配到的行，数组S[$NF]就加1，NF为当前匹配到的行的最后一个字段，此处用其值做为数组S的元素索引
netstat - | awk '/^tcp/{state[$NF]++}END{for(i in state) {print i,state[i]}}'

#统计www服务的访问日志中IP数量
awk '{ip[$1]++} END {for (i in ip) {print i,ip[i]}}' /data/log/nginx/access.log

#统计/etc/fstab文件中每个文件系统类型出现的次数
awk '/^UUID/{filesystem[$3]++}END{for (i in filesystem) {print i,filesystem[i]}}' /etc/fstab

#统计指定文件中单词的出现次数
awk '{for(i=1;i<=NF;i++){count[$i]++}}END{for(i in count) {print i,count[i]}}' /etc/fstab

#统计出/etc/passwd文件中shell的种类和个数
awk -F: '{shell[$NF]++}END{for(A in shell){print A,shell[A]}}' /etc/passwd

重点解析一下这条命令：
首先，shell[$NF]++这个语句。其中的$NF所代表的是一个字符串，即shell的类型。也就是说在这个数组中的元素名称是shell的名称。而后面的++是对这个数组进行赋值。因为在/etc/passwd 这个文件中的shell类型只有两种，即/bin/bash和/sbin/nologin。也就是说这个数组就只有两个元素，并且它的值是不断被更新的。其次，语句for(A in shell)是设定了A是数组shell中的坐标变量，即是A是元素的名称，shell[A]是数组的值。

1.split(string, array [, fieldsep [, seps ] ])
功能：将string表示的字符串以fieldsep为分隔符进行分隔，并将分隔后的结果保存至array为名的数组中；数组下标为从0开始的序列；

#example:
netstat -ant | awk '/^tcp/{split($5,ip,":");count[ip[1]]++}END{for(i in count)print i,count[i]}'

netstat -ant | awk '/:443/{split($5,clients,":");IP[clients[1]]++}END{for(i in IP){print IP[i],i}}' | sort -rn | head -50

2.ength([string])
功能：返回string字串中字符的个数

3.substr(string, start [, length])
功能：取string字符串中的子串，从start开始，取length个；start从1开始计数

4.system(command)
功能：执行系统command并将结果返回至awk命令

5.systime()
功能：取系统当前时间

6.tolower(s)
功能：将s中的所有字母转为小写

7.toupper(s)
功能：将s中的所有字母转为大写

1.查看TCP连接状态
netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn

netstat -n | awk '/^tcp/ {++state[$NF]};END {for(i in state) print i, state[i]}'

netstat -n | awk '/^tcp/ {++state[$NF]}; END {for(i in state) print i,"\t",state[i]}'

netstat -n |awk '/^tcp/ {print $NF}'|sort|uniq -c|sort -rn

netstat -ant | awk '{print $NF}' | grep -v '[a-z]' | sort | uniq -c

2.查找请求数前20个IP（常用于查找攻来源）：

netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20

netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20

3.用tcpdump嗅探80端口的访问看看谁最高

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20

4.查找较多time_wait连接

netstat -n|grep TIME_WAIT|awk '{print $5}'|sort|uniq -c|sort -rn|head -n20

5.找查较多的SYN连接

netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr | more

6.根据端口列进程

netstat -ntlp | grep 80 | awk '{print $7}' | cut -d/ -f1
netstat -tnlp | awk '/22/{split($NF,port,"/");d[port[1]]++}END{for(i in d)print i}'

1.获得访问前10位的ip地址

cat /data/log/nginx/access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -10
cat /data/log/nginx/access.log|awk '{counts[$(11)]+=1}; END {for(url in counts) print counts[url], url}'

2.访问次数最多的文件或页面,取前20

cat /data/log/nginx/access.log|awk '{print $11}'|sort|uniq -c|sort -nr|head -20

3.列出传输最大的几个exe文件（分析下载站的时候常用）

cat /data/log/nginx/access.log |awk '($7~/.exe/){print $10 " " $1 " " $4 " " $7}'|sort -nr|head -20

4.列出输出大于200000byte(约200kb)的exe文件以及对应文件发生次数

cat /data/log/nginx/access.log |awk '($10 > 200000 && $7~/.exe/){print $7}'|sort -n|uniq -c|sort -nr|head -100

5.如果日志最后一列记录的是页面文件传输时间，则有列出到客户端最耗时的页面

cat /data/log/nginx/access.log |awk '($7~/.php/){print $NF " " $1 " " $4 " " $7}'|sort -nr|head -100

6.列出最最耗时的页面(超过60秒的)的以及对应页面发生次数

cat /data/log/nginx/access.log |awk '($NF > 60 && $7~/.php/){print $7}'|sort -n|uniq -c|sort -nr|head -100

7.列出传输时间超过 30 秒的文件

cat access.log |awk '($NF > 30){print $7}'|sort -n|uniq -c|sort -nr|head -20

8.统计网站流量（G)

cat /data/log/nginx/access.log |awk '{sum+=$10} END {print sum/1024/1024/1024}'

9.统计404的连接

awk '($9 ~/404/)' /data/log/nginx/access.log | awk '{print $9,$7}' | sort

10. 统计http status

cat /data/log/nginx/access.log |awk '{counts[$(9)]+=1}; END {for(code in counts) print code, counts[code]}'
cat /data/log/nginx/access.log |awk '{print $9}'|sort|uniq -c|sort -rn

10.蜘蛛分析，查看是哪些蜘蛛在抓取内容。

/usr/sbin/tcpdump -i eth0 -l -s 0 -w - dst port 80 | strings | grep -i user-agent | grep -i -E 'bot|crawler|slurp|spider'

/usr/sbin/tcpdump -i eth0 -s 0 -l -w - dst port 3306 | strings | egrep -i 'SELECT|UPDATE|DELETE|INSERT|SET|COMMIT|ROLLBACK|CREATE|DROP|ALTER|CALL'

1.调试命令
strace -p pid
2.跟踪指定进程的PID
gdb -p pid

#统计某个文件夹下的文件占用的字节数
ls -l |awk 'BEGIN {size=0;} {size=size+$5;} END{print "[end]size is ", size}'

#如果以M为单位显示
ls -l |awk 'BEGIN {size=0;} {size=size+$5;} END{print "[end]size is ", size/1024/1024,"M"}'
注意，统计不包括文件夹的子目录。

#统计某个文件夹下的文件占用的字节数,过滤4096大小的文件(一般都是文件夹)
ls -l |awk 'BEGIN {size=0;print "[start]size is ", size} {if($5!=4096){size=size+$5;}} END{print "[end]size is ", size/1024/1024,"M"}'

#显示/etc/passwd的账户
awk -F ':' 'BEGIN {count=0;} {name[count] = $1;count++;}; END{for (i in name) {print i,name[i]}}' /etc/passwd

#AWK 的 hello world 程序为:
BEGIN { print "Hello, world!" }

#打印九九乘法表
seq 9 | sed 'H;g' | awk -v RS='' '{for(i=1;i<=NF;i++)printf("%dx%d=%d%s", i, NR, i*NR, i==NR?"\n":"\t")}'

#results
1x1=1
1x2=2   2x2=4
1x3=3   2x3=6   3x3=9
1x4=4   2x4=8   3x4=12  4x4=16
1x5=5   2x5=10  3x5=15  4x5=20  5x5=25
1x6=6   2x6=12  3x6=18  4x6=24  5x6=30  6x6=36
1x7=7   2x7=14  3x7=21  4x7=28  5x7=35  6x7=42  7x7=49
1x8=8   2x8=16  3x8=24  4x8=32  5x8=40  6x8=48  7x8=56  8x8=64
1x9=9   2x9=18  3x9=27  4x9=36  5x9=45  6x9=54  7x9=63  8x9=72  9x9=81