最近想知道谁登录了SSH，于是从网上查知识，发现系统有/var/log/secure，这里是系统的安全日志，分一下，分析日志无非用SED和AWK了，看下段

很好理解的，先把无用的东西用SED给替换了，然后打印IP，最后SORT UNIQ -C 最后再排序一下SORT -NR

sed -n '/sshd.*Failed.*password/p' /var/log/secure |awk '{for (count=1;count<=NF;count++){if ($count ~/[0-9][0-9]?[0-9]?./) {print $count}}}' |sort |uniq -c | sort -nr