awk命令來匹配多個模式

Question

我正在使用awk命令在兩個不同時間之間查找我的日誌文件中的條目。 我已經使用這個命令，它的工作原理：

awk '$0 >= "Oct 04 12:00:00" && $0 <= "Oct 04 12:30:00"' /var/log/messages 

我想知道我怎麼可以搜索被允許或在此期間封鎖特定端口。例如：如果我正在搜索從12:00到12:30之間阻塞的端口22，那麼如何使用awk命令搜索它？ /var/log/messages文件

內容：

Nov 5 8:44:30 System1 Kernel [022525 252748] OUTPUT DROPPED=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:01:00:25:97:b2:47:01:00 SRC=10.0.0.1 DST=192.168.4.141 LEN=221 TOS=0x00 PREC=0x00 TTL=128 ID=23315 PROTO=UDP SPT=183 DPT=183 LEN=209 

在日誌文件中的條目類似於像上面。我想知道如何匹配SPT = 80和DPT = 80的12:00至12:30之間的信息

Answer 1

您可以使用&&添加更多條件，就像您對日期所做的一樣。您可以在兩個正斜槓之間放置一個正則表達式，以匹配整行/記錄。

awk '/port 22 (blocked|allowed)/ && $0 >= "Oct 04 12:00:00" && $0 <= "Oct 04 12:30:00"' /var/log/messages 

當然你也可以用括號和邏輯組合（&&）和/或或（||）如果你需要更復雜的規則。

我想知道我怎麼能比得上之間的信息，比方說，12：00至12:30，其中SPT = 80和DPT = 80

繼上述說明中，只需添加/SPT=80/ && /DPT=80/ && ...條件。請注意，您顯示的示例行不匹配，因爲它的SPT和DPT值不是80，而是143.

順便說一下，請記住，按日期過濾的方式（例如$0 >= "Oct 04 12:00:00" && $0 <= "Oct 04 12:30:00"）可能無效日期越過月份邊界，例如Nov的下限在Dec中的上限不起作用。