Nginx日志IP统计实战指南：从基础命令到可视化分析

在Web服务运维中，Nginx凭借高性能和灵活性成为众多站点的首选。但如何从海量的Nginx访问日志中提取关键信息，尤其是IP地址的统计分析，是排查异常流量、优化服务器配置的基础。本文将结合命令行工具、脚本与可视化工具，详解Nginx日志IP统计的实用方法。

一、基础命令：快速定位高频IP

Nginx访问日志默认记录IP地址的核心字段为$remote_addr，通常位于日志文件的第一列。假设日志文件路径为/var/log/nginx/access.log，以下命令可实现基础统计：

1. 查看所有IP出现次数

awk '{print $1}' access.log | sort | uniq -c | sort -nr

• 解析：awk '{print $1}'提取第一列IP，sort排序后，uniq -c统计重复次数，sort -nr按次数降序排列。执行后输出将显示类似：1234 192.168.1.1（表示IP 192.168.1.1出现1234次）。

2. 筛选高频访问IP

若需统计访问次数超过100次的IP：

awk '{print $1}' access.log | sort | uniq -c | awk '$1 > 100 {print}'

3. 按时间范围统计

针对特定时段（如最近1小时）的IP统计，需结合日志时间字段（通常为[$time_local]）：

awk '{split($4, t, ":"); if (t[1] >= 1 && t[1] <= 1) print $1}' access.log | sort | uniq -c | sort -nr

• 解析：split($4, t, ":")分割时间字段（假设格式为HH:MM:SS），筛选小时为1的访问记录。

二、进阶技巧：复杂场景下的IP统计

1. Python脚本实现灵活分析

对于多条件统计（如排除特定IP、按路径分组），Python脚本更易扩展：

from collections import Counter
from datetime import datetime

def analyze_nginx_log(log_path, start_hour=0, end_hour=24, threshold=50):
    ips = []
    with open(log_path, 'r') as f:
        for line in f:
            parts = line.split()
            ip = parts[0]
            # 提取小时并过滤时间范围
            time_str = parts[4].split(':')[0]  # 假设日志时间字段为第5列，格式为HH:MM:SS
            if start_hour <= int(time_str) < end_hour:
                ips.append(ip)
    # 统计高频IP
    counter = Counter(ips)
    return {ip: cnt for ip, cnt in counter.items() if cnt > threshold}

# 调用示例：统计今天0-12点访问超50次的IP
result = analyze_nginx_log('/var/log/nginx/access.log', 0, 12, 50)
for ip, cnt in result.items():
    print(f"IP: {ip}, 访问次数: {cnt}")

2. 可视化工具长期监控

通过ELK Stack（Elasticsearch+Logstash+Kibana）或Grafana，可实现IP访问趋势可视化：

• ELK Pipeline：Logstash解析日志后，Elasticsearch存储数据，Kibana通过“饼图”或“柱状图”展示IP分布。
• Grafana：配置Nginx插件后，直接对接日志数据，设置IP访问次数告警阈值。

三、常见问题与解决方案

1. 代理IP干扰

若Nginx部署在反向代理后，$remote_addr会显示代理服务器IP，需改用$http_x_forwarded_for获取真实IP。修改nginx.conf：

log_format main '$http_x_forwarded_for [$time_local] "$request" $status';

2. 日志格式适配

若IP未出现在第一列，需检查nginx.conf的log_format配置是否包含$remote_addr：

log_format main '$remote_addr - - [$time_local] "$request" $status $body_bytes_sent';

3. 大日志文件处理

处理GB级日志时，先用grep过滤日期缩小范围：

grep "2023-10-01" access.log | awk '{print $1}' | sort | uniq -c | sort -nr

四、总结

Nginx日志IP统计是运维监控的基础技能，基础命令适用于快速排查，Python脚本适合复杂场景，而结合ELK、Grafana等工具可实现可视化与长期趋势监控。无论哪种方法，核心在于结合业务场景（如攻击检测、用户画像），才能让统计结果真正驱动优化。掌握这些技巧，能帮助你更高效地定位Web服务的潜在问题。