前言
在工作中為了防止一些惡意訪問的行為,例如不斷的請求刷流量,通過實時過濾Nginx訪問日志,將單位時間內訪問次數達到指定閥值的來源ip及時的通知系統管理員,這里通過郵件的方式通知。
監控腳本
vim /opt/nginx/sbin/nginx_log_monitor.sh
#!/bin/bash#日志文件logfile=/opt/nginx/logs/www #開始時間start_time=`date -d"$last_minutes minutes ago" +"%H:%M:%S"` #結束時間stop_time=`date +"%H:%M:%S"` #過濾出單位之間內的日志并統計最高ip數tac $logfile/access.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($4,RSTART+14,21);if(t>=st && t<=et) {print $0}}' /| awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`# 單位時間[1分鐘]內單ip訪問次數超過200次,則觸發郵件報警if [[ $ip_top -gt 200 ]];then /usr/bin/python /opt/tools/send_mail.py &fichmod +x /opt/nginx/sbin/nginx_log_monitor.sh
定時任務
如上腳本監控一分鐘內的日志,因此每分鐘執行一次:
# crontab -e*/1 * * * * /bin/bash /opt/nginx/sbin/nginx_log_monitor.sh
郵件告警
這里通過python實現發送郵件
# vim /opt/tools/send_mail.py
# -*- coding: utf-8 -*-from email import encodersfrom email.header import Headerfrom email.mime.text import MIMETextfrom email.utils import parseaddr, formataddrfrom email.mime.multipart import MIMEMultipartfrom email.mime.base import MIMEBasefrom datetime import datetimeimport osimport smtplibdef _format_addr(s): name, addr = parseaddr(s) return formataddr((Header(name, 'utf-8').encode(), addr))# 郵箱定義smtp_server = 'smtp.exmail.qq.com'smtp_port = 465from_addr = '[email protected]'password = os.environ.get('MAIL_PASSWD')to_addr = ['[email protected]']# 郵件對象msg = MIMEMultipart()msg['From'] = _format_addr('發件人 <%s>' % from_addr)msg['To'] = _format_addr('收件人 <%s>' % to_addr)msg['Subject'] = Header('Warning:單ip請求次數異常', 'utf-8').encode()# 獲取系統中要發送的文本內容with open('/opt/nginx/logs/log_ip_top10', 'r') as f: line = f.readline().strip() line = line.split(" ")print(line)# 郵件正文是MIMEText:html = '<html><body><h2>一分鐘內單ip請求次數超過閥值</h2>' + / '<p>ip:%s 請求次數/min:%s</p>' % (line[1],line[0]) + / '</body></html>' msg.attach(MIMEText(html, 'html', 'utf-8'))server = smtplib.SMTP_SSL(smtp_server, smtp_port)server.login(from_addr, password)server.sendmail(from_addr, to_addr, msg.as_string())server.quit()
示例
寫個腳本不停curl請求資源觸發報警:
# vim curl.sh
#!/bin/bash#example:curl.sh http://www.qingkang.me 100usage(){ echo "usage: `basename $0` url count"}if [ $# -ne 2 ]; then usage exit 1fifor i in `seq 1 $2`;do http_code=`curl -o /dev/null -s -w %{http_code} $1` echo $1 $http_codedone# bash curl.sh http://qingkang.me/ 5http://qingkang.me/ 200http://qingkang.me/ 200http://qingkang.me/ 200http://qingkang.me/ 200http://qingkang.me/ 200
調低閥值觸發告警:
一分鐘內單ip請求次數超過閥值ip:115.231.182.82 請求次數/min:27
完善
這里僅實現了郵件告警功能,實際上還可以實現自動屏蔽惡意訪問的ip。可以通過Nginx deny來實現,也可以iptables -I INPUT -s x.x.x.x -j DROP通過iptables屏蔽。
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家能有一定的幫助,如果有疑問大家可以留言交流,謝謝大家對VEVB武林網的支持。
新聞熱點
疑難解答
