如何计算 CloudWatch 日志中 IP 地址的出现次数

Question

假设我有一个如下所示的云观察日志：

最左边的 IP 代表请求的来源。

是否可以列出我指定的时间范围内每个IP的出现次数？

我的意思是我想创建如下所示的数据：

time range: 2019-06-02 00:00:00 - 2019-06-04 13:00:00
number of occurrences of `172.31.13.80`: 130
number of occurrences of `172.31.25.110`: 112
number of occurrences of `172.31.8.124`: 99
number of occurrences of `172.31.8.121`: 86

看来CloudWatch Logs Insights 可以做一些类似于我想要的事情。但我还没有弄清楚如何使用 Insights 做到这一点。

有谁知道如何统计每个IP的出现次数？

Answer 1

下面的查询会生成您需要的分组。我看到了here。

fields @timestamp, @message
  | parse @message /(?<@ip>^([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})[.]*)/
  | stats count() as requestCount by @ip
  | filter strlen(@ip) > 0
  | sort requestCount desc

Answer 2

如果您的目标是分析实际的远程 IP 地址并且您使用的是 ELB，那么最好捕获ELB access logs 并对其进行分析。这将提供以下好处：

• 访问源请求数据，包括客户端 IP 和 SSL 参数。
• 时间信息，包括失败请求的时间。
• 无需编写公开请求标头的自定义日志格式。

AWS Athena 具有用于访问这些日志的预构建查询，而 Athena 的类似 SQL 的查询语言为您提供比 CloudWatch Logs Insights 更大的灵活性。您还可以将日志发送到 CloudWatch 并使用 Insights（识别 ELB 日志格式），但这似乎是不必要的工作。

Answer 3

在日志中的任何位置识别 IP：

fields @timestamp, @message
  | parse @message /(?<@ip>^*([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})[.]*)/
  | stats count() as requestCount by @ip
  | sort requestCount desc

Answer 4

“Elastic Load Balancing 会尽最大努力记录请求。我们建议您使用访问日志来了解请求的性质，而不是作为对所有请求的完整记录。”

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html

如果准确性非常重要并使用 ELB 日志，则值得牢记。我过去做过一些工作，用 ELB 日志分析 HTTP 访问日志，发现它们之间的请求计数存在相当大的差异（http 日志是准确的）