2026年5月16日
Nginx 访问日志里的安全线索
从状态码、路径、User-Agent 和请求频率中快速发现扫描、爆破与异常访问。
网络安全日志分析Nginx
日志分析的核心是建立基线:正常用户会访问哪些路径,请求频率大概是多少,常见状态码如何分布。偏离基线的请求,才值得被优先关注。
值得关注的信号
- 高频访问登录接口。
- 请求大量不存在的路径,状态码集中在
404。 - User-Agent 明显伪造或为空。
- 同一个 IP 在短时间内尝试多个敏感路径。
awk '{print $1}' access.log | sort | uniq -c | sort -nr | head安全分析不是只看单条日志,而是把时间、来源、路径和响应结果串起来。