awk中怎么看计划任务拦密码输入错误超过十次的人的IP地址

# awk中怎么看计划任务拦密码输入错误超过十次的人的IP地址

在Linux系统中，计划任务（如`cron`）的登录失败日志通常记录在`/var/log/auth.log`或`/var/log/secure`中。要筛选密码错误超过10次的IP地址，可以结合`grep`和`awk`实现高效分析。

## 操作步骤

1. **提取失败记录**  
   使用`grep`过滤包含`Failed password`的日志行：
   ```bash
   grep "Failed password" /var/log/auth.log

1. 统计IP出现次数
   通过awk统计每个IP的失败次数，并筛选超过10次的记录：

   awk '/Failed password/ { count[$11]++ } END { for (ip in count) if (count[ip] > 10) print ip }' /var/log/auth.log
   

   • $11是IP地址的字段位置（根据日志格式调整，如$NF表示最后一列）。

2. 进阶处理
   若需时间范围限制，可先通过sed或awk按时间过滤日志，再执行统计。

注意事项

• 日志路径可能因系统而异（如CentOS用secure，Ubuntu用auth.log）。
• 字段索引需根据实际日志格式调整，建议先检查样本行。

此方法快速定位暴力破解来源，便于后续封禁（如iptables或fail2ban）。 “`

（注：实际字数约280字，可根据需要删减示例命令或说明部分以精简。）