问题场景
继上一篇实现nginx的日志切割之后,需要解决的问题是ip封禁的问题,不然还是可以拖垮系统。
解决方案
定时抽取日志文件中日访问量大于100的ip地址,将他们写入给名单中。具体的代码实现如下:
#!/bin/bash
log_dir=/usr/local/nginx/logs/access.log
nginx_port=82
day=$(date -d '-1 day' '+%Y%m%d')
nginx_deny_file=$(dirname $log_dir)/nginx_deny.log
if [ ! -f $nginx_deny_file ]; then
touch $nginx_deny_file
fi
# 取出遍历日志文件中访问量>100的ip
for drop_ip in $(grep -v '127.0.0.1' access.log_$day | awk '{print $1}' | sort | uniq -c | sort -rn | awk '{if ($1>10) print $2}'); do
num=$(grep $drop_ip $nginx_deny_file | wc -l)
if [ $num -gt 1 ]; then
continue
fi
# 禁止ip访问端口 该方法待验证!!!
iptables -I INPUT -p tcp –-dport $port -s $drop_ip -j DROP
echo ">>>>> $(date '+%Y-%m-%d %H:%M:%S') - 发现异常ip -> $drop_ip" >>$nginx_deny_file
done