Nachdem wir in den letzten Kapiteln Logs lesen, filtern und bereinigen konnten, geht es nun einen Schritt weiter: Wir wollen Daten analysieren.
Mit awk kannst du Logdateien in Spalten zerlegen und daraus Werte zählen, summieren oder vergleichen.
🔹 Grundlagen von awk
-
awkbehandelt jede Zeile als Datensatz. - Standardmäßig wird nach Whitespace (Leerzeichen/Tab) getrennt.
- Spalten heißen
$1,$2,$3usw. - Aktionen stehen in
{}.
Beispiel:
awk '{print $1}' access.log
👉 Gibt die erste Spalte (meist IP-Adressen) aus.
🔹 Felder im Apache-Access-Log
192.168.1.10 - - [24/Sep/2025:14:22:15 +0200] "GET /index.html HTTP/1.1" 200 532
-
$1→ IP-Adresse -
$4→ Zeitstempel (beginnt mit [) -
$6→ HTTP-Methode ("GET) -
$7→ Pfad (/index.html) -
$9→ Statuscode (200) -
$10→ Größe (532)
👉 Damit kannst du z. B. die häufigsten Fehler oder IPs zählen.
🔹 Häufigste IPs ermitteln
awk '{print $1}' access.log | sort | uniq -c | sort -nr | head
👉 So findest du die „Top-IPs“, die am meisten Anfragen stellen.
🔹 Statuscodes zählen
awk '{print $9}' access.log | sort | uniq -c | sort -nr
Ausgabe (Beispiel):
120 200 15 404 5 500
👉 Zeigt: Die meisten Anfragen waren erfolgreich (200), einige waren Fehler (404, 500).
🔹 Meistbesuchte Seiten finden
awk '{print $7}' access.log | sort | uniq -c | sort -nr | head
Ausgabe:
80 /index.html 20 /about.html 15 /contact.html
👉 Zeigt, welche Seiten am beliebtesten sind.
🔹 Requests pro Stunde zählen
Der Zeitstempel steht in $4: [24/Sep/2025:14:22:15
Nur die Stunde extrahieren:
awk -F: '{print $2":00"}' access.log | sort | uniq -c
Ausgabe:
30 13:00 50 14:00 20 15:00
👉 So siehst du, wann der meiste Traffic war.
🔹 Durchschnittswerte berechnen (z. B. Antwortgröße)
awk '{sum+=$10; count++} END {print "Durchschnitt:", sum/count}' access.log
Ausgabe:
Durchschnitt: 487
👉 Berechnet die durchschnittliche Größe der Antworten.
🔹 Beispiel: Nur Fehlerzugriffe auswerten
awk '$9 ~ /^4|^5/ {print $1, $9}' access.log | sort | uniq -c | sort -nr | head
Ausgabe (gekürzt):
12 203.0.113.42 404 5 203.0.113.42 500 3 10.0.0.5 404
👉 Zeigt, welche IPs die meisten Fehler erzeugt haben.
🔹 Übungen
1. Zähle in einem Apache-Log:
- Häufigste IP-Adresse
- Häufigster Statuscode
- Meistbesuchte Seite
2. Berechne die durchschnittliche Antwortgröße ($10).
3. Bonus: Finde heraus, wie viele Requests pro Tag stattfanden (Tipp: Datum aus $4 extrahieren).
✅ Zusammenfassung
-
awkverarbeitet Logs spaltenweise. -
$1,$9,$7sind besonders interessant in Webserver-Logs (IP, Statuscode, Pfad). - In Kombination mit
sort | uniq -ckannst du schnell Häufigkeiten berechnen. - Mit
awk-Ausdrücken lassen sich Summen, Durchschnitte und Muster (Regex) berechnen.
👉 Im nächsten Kapitel lernst du, wie man sed, grep, awk und weitere Tools kombiniert, um Logs noch präziser auszuwerten.
📚 Inhaltsverzeichnis
👉 Log-Analyse Kapitel 1: Logs im Terminal lesen – cat, less, tail & grep
👉 Log-Analyse Kapitel 2: Filtern mit grep und regulären Ausdrücken
👉 Log-Analyse Kapitel 3: Logs bereinigen mit sed – inkl. Mehrdatei-Änderungen
👉 Log-Analyse Kapitel 4: Logs analysieren mit awk
👉 Log-Analyse Kapitel 5: Logs kombinieren mit grep, sed, awk, sort, uniq & cut
👉 Log-Analyse Kapitel 6: Praxisprojekt – Apache-/Nginx-Access-Logs analysieren
👉 Log-Analyse Kapitel 7: Praxisprojekt – Systemlogs analysieren (auth.log & journalctl)
⭐ Bonus-Kapitel
👉 Log-Analyse Kapitel 8 (Bonus): Eigene Auswertungs-Skripte für Logs schreiben
👉 Log-Analyse Kapitel 9 (Bonus): Logs visualisieren mit CSV & gnuplot