python腳本實(shí)現(xiàn)分析dns日志并對(duì)受訪域名排行
前段時(shí)間有個(gè)需求是要求查一段時(shí)間的dns上的域名訪問次數(shù)排行(top100)��,沒辦法,只好慢慢的去解析dns日志唄���,正好學(xué)習(xí)了python,拿來(lái)練練手。
1.原始數(shù)據(jù)分析:
首先看下原始數(shù)據(jù)文件��,即dns日志內(nèi)容��,下面是抽取的幾條有代表性的日志���,2×8.2×1.2x.1×5 這種中間的x是相應(yīng)的數(shù)字被我抹去了��。
代碼如下:
13-08-30 03:11:34,226 INFO : queries: –
|1×3.2×8.2×0.2×0|config.dengluqi.net||config.34245.com.;127.0.0.1;||A|success|+|–G—-
qr rd ra |1|
13-08-30 03:11:34,229 INFO : queries: –
|1×3.2×8.2x.2×8|p19.qhimg.com|default|2×8.2×1.2x.1×5;|default;|A|success|+|—w—
qr aa rd ra |8061|
13-08-30 03:11:34,238 INFO : queries: –
|1×3.2×8.x.9x|shu.taobao.com|default|2×8.2×1.2x.1×5;|default;|A|success|+|—w—
qr aa rd ra |59034|
13-08-30 03:11:34,238 INFO : queries: –
|1×3.2×8.2×7.1×2|cncjn.phn.live.baofeng.net|default|2×8.2×1.2x.17x;|default;|A|success|+|—w—
qr aa rd ra |3004|
可以看出中間的日志采用的是| 分割的��,shu.taobao.com 即為我們想要的數(shù)據(jù)域名�����,至于域名訪問次數(shù)統(tǒng)計(jì)���,則每個(gè)域名的一條記錄算一次訪問。由此我們可以確定一下兩點(diǎn):
a)采用| 作為分割符
b)第二個(gè)字段domain為目標(biāo)數(shù)據(jù)��,我們用作鍵值�����,即字典的key
c)domain[key]存儲(chǔ)相應(yīng)域名的訪問次數(shù)
2.腳本構(gòu)思:
a)我們的dns日志都是隔一段時(shí)間自動(dòng)切割����、壓縮為gz文件����,因此首先必須采用gzip.open去打開gz文件�,這里需要導(dǎo)入gz庫(kù)。
b)要求查找的是一段時(shí)間的域名排行�,所以必須有得過(guò)濾一段時(shí)間,這里我采用了正則的方式去過(guò)濾�,so導(dǎo)入re正則庫(kù)。
c)排序�,必須對(duì)結(jié)果進(jìn)行排序�,然后輸出topXX的結(jié)果,由于是采用字典保存的�����,而字典是亂想的���,所以必須有合適的辦法去排序�,字典的iteritems正好適用���。
3.腳本編寫:
明白了大致要點(diǎn)����,腳本寫起來(lái)就很easy了。
代碼如下:
代碼如下:
#write by siashero
import gzip
import re
file = gzip.open("e:\
python_programs\queries.log.CBN-XA-1-3N3.20130803160052.gz")
domain_list= {}
print "time format is 13-08-04 19:1{1,2,3,4,5} "
time = raw_input("please enter a time you want to analysis")
while True:
line = file.readline()
if not line:
break
if re.search(time,line):
domain = line.split(‘|')[2]
if domain in domain_list:
domain_list[domain] += 1
else:
domain_list[domain] = 1
count = 0
for v in sorted(domain_list.iteritems(),key =lambda x:x[1],reverse=True):
print v[1],v[0]
#to print the only top20 domain
if count > 20:
break
count += 1
raw_input("enter a word to finish")
file.close
稍微說(shuō)下腳本內(nèi)容����,queries.log.CMN-CQ.20130830031330.gz 為具體的一個(gè)目標(biāo)文件,腳本主要是采用字典存儲(chǔ)�����,以domain字段作為key����,domain[key]存儲(chǔ)訪問次數(shù)。
稍后調(diào)用字典的iteritems 方法生產(chǎn)迭代器進(jìn)行排序�,最后輸入top100的域名。
最后的raw_input(“enter a word to finish”) 是因?yàn)槲以趙in7下測(cè)試的���,默認(rèn)執(zhí)行完就一閃而過(guò)了����,加入這行純碎是為了觀察結(jié)果�,linux下可以刪去。
這里稍微別扭的是時(shí)間的過(guò)濾采用的是正則去過(guò)濾的�����,所以要求輸入必須是正則的方式,這點(diǎn)麻煩�。
3.執(zhí)行
說(shuō)了大半天了,還是先跑下看看效果吧�。
可以看出正常輸出了top20的域名。
4.總結(jié):
大致實(shí)現(xiàn)了相應(yīng)的要求���,只是很多的文件處理的不大好����。例如采用正規(guī)去過(guò)濾時(shí)間段�����,在數(shù)據(jù)量很大的情況下會(huì)對(duì)性能有影響�。同時(shí)感謝同事,最后的字典的排序方法我是抄他的�����,感謝個(gè)~
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試���,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情���;
? 想學(xué)習(xí)CDA考試教材��,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情�����;
? 想加入CDA考試題庫(kù)�,點(diǎn)擊>>> “CDA題庫(kù)” 了解CDA考試詳情�����;
? 想了解CDA考試含金量����,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營(yíng)許可證編號(hào):京B2-20210330