Nginx日志监控恶意访问的实用技巧

本文介绍四种利用Nginx日志监控恶意访问的实用技巧，帮助提升服务器安全性。首先，利用`limit_req`模块限制单个IP的请求频率，有效防止暴力破解等攻击。其次，结合`deny`模块和监控脚本，自动屏蔽高频访问IP。此外，文章还推荐了GoAccess、ELK Stack和Fluentd等日志分析工具，以及自定义脚本分析日志并屏蔽恶意IP的方法。 通过灵活运用这些方法，您可以有效监控并防御恶意访问，保障服务器安全稳定运行。 选择哪种方法取决于您的实际需求和技术能力。

本文介绍几种利用Nginx日志监控恶意访问的方法，有效提升服务器安全性。

方法一：利用limit_req模块限制访问频率

Nginx的limit_req模块可限制单个IP在特定时间段内的请求次数。例如，设定每分钟最多20次请求，超过则返回503错误。

http {
    limit_req_zone $binary_remote_addr zone=onelimit:10m rate=20r/m;

    server {
        ...
        location / {
            limit_req zone=onelimit burst=5 nodelay;
            limit_req_log_level warn;
        }
    }
}

方法二：使用deny模块屏蔽高频访问IP

针对瞬时高并发攻击，deny模块结合监控脚本可有效阻止特定IP。脚本定时分析日志，更新需要屏蔽的IP列表，并重新加载Nginx配置。

示例配置及脚本（PHP）：

1. 创建blocksip.conf文件，存储需屏蔽的IP地址。
2. 使用PHP脚本（例如blocksip.php）分析Nginx日志，将访问次数超过阈值的IP添加到blocksip.conf，并重启Nginx。

 10) {
            file_put_contents($blockFile, "deny $ip;\n", FILE_APPEND);
        }
    }
}
?>

方法三：借助日志分析工具

专业的日志分析工具能更有效率地监控和分析Nginx日志。

示例工具：

• GoAccess: 开源实时日志分析工具，支持多种日志格式。
• ELK Stack (Elasticsearch, Logstash, Kibana): 强大的日志分析和可视化平台。
• Fluentd: 开源数据收集器，可将日志推送到监控平台如Prometheus、Grafana。

方法四：自定义脚本分析日志并屏蔽恶意IP

可编写Python等脚本自动识别并屏蔽高频访问IP。

示例脚本（Bash）：

#!/bin/bash
DATE=$(date +%d/%b/%Y:%H:%M)
LOG_FILE=/usr/local/nginx/logs/access.log
ABNORMAL_IP=$(tail -n5000 $LOG_FILE | grep $DATE | awk '{a[$1]++} END {for(i in a) if(a[i]>10) print i}')

for IP in $ABNORMAL_IP; do
    if [ $(iptables -vnL | grep -c "$IP") -eq 0 ]; then
        iptables -I INPUT -s $IP -j DROP
        echo "$(date +'%F_%T') $IP" >> /tmp/drop_ip.log
    fi
done

总结:

合理运用以上方法，结合limit_req、deny模块和日志分析工具，可以有效监控和防御恶意访问，保障服务器安全。 选择何种方法取决于实际需求和技术能力。

好了，本文到此结束，带大家了解了《Nginx日志监控恶意访问的实用技巧》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！