nginx geo信息分析

使用场景

在 Nginx 中启用 GeoIP2 模块,记录用户访问日志,并通过 Python 脚本进行二次分析。

模块安装

在 Ubuntu 20+ / 22+ 系统中,GeoIP2 模块可以直接通过 apt 安装:

1
2
3
4
5
6
7
8
9
10
11
12
13
# 装模块(Ubuntu 20+/22+ 自带)
sudo apt install libnginx-mod-http-geoip2

# 下载免费的城市库
sudo mkdir -p /usr/share/GeoIP
sudo wget -O /usr/share/GeoIP/GeoLite2-City.mmdb \
  https://git.io/GeoLite2-City.mmdb

# 自动补缺失依赖
sudo apt install -f     

sudo dpkg --configure -a

文件配置

  1. 在 nginx.conf 中启用 geo 变量

在 http {} 段中加入如下配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
http {
    ...
    geoip2 /usr/share/GeoIP/GeoLite2-City.mmdb {
        auto_reload 5m;
        $geo_country country names en;
        $geo_region  subdivisions 0 names en;
        $geo_city    city names en;
    }

    log_format geo_combined '$remote_addr - $remote_user [$time_local] '
                            '"$request" $status $body_bytes_sent '
                            '"$http_referer" "$http_user_agent" '
                            'Country=$geo_country Region=$geo_region City=$geo_city';

    access_log /var/log/nginx/access_geo.log geo_combined;
    ...
}

  1. 在 server 块中单独启用日志
1
2
3
4
5
6
7
8
9
10
11
12
13
server {
    listen 443 ssl http2;
    ...
    ....
    ...
    # ⭐ 记录带有地理信息的日志
    access_log /var/log/nginx/xxxx_geo.log geo_combined;

    location / {
        try_files $uri $uri/ =404;
    }
}

3.启动与验证

1
2
3
4
5
6
7
8
9
10
# 检查配置是否正确
sudo nginx -t

# 重新加载配置
sudo systemctl reload nginx

# 查看实时日志
tail -f /var/log/nginx/xxxx_geo.log

可能端口已经被占用,可以先暂停端口监听:

1
2
3
sudo lsof -ti:80  | xargs -r sudo kill -9
sudo lsof -ti:443 | xargs -r sudo kill -9

如果输出为空说明端口已释放

日志分析

  • 自定义日志解析脚本
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
#!/usr/bin/env python3
import re, csv, os, glob, gzip
from user_agents import parse
from datetime import datetime, timedelta

LOG_DIR   = '/var/log/nginx'
LOG_PAT   = 'access_geo.log*'       # 支持 *.gz
OUT_DIR   = os.path.expanduser('~/nginx_geo_daily')

# 昨天的日期
day_str = (datetime.now() - timedelta(days=1)).strftime('%Y-%m-%d')
out_csv = os.path.join(OUT_DIR, f'{day_str}.csv')

# 正则:IP、时间、UA、Country、Region、City
line_re = re.compile(
    r'(?P<ip>\d+\.\d+\.\d+\.\d+) .*?\[(?P<dt>[^\]]+)\] '
    r'".*?" \d+ \d+ ".*?" "(?P<ua>[^"]+)" '
    r'Country=(?P<country>[^ ]+) Region=(?P<region>[^ ]+) City=(?P<city>[^ ]+)'
)

rows = []
for path in glob.glob(os.path.join(LOG_DIR, LOG_PAT)):
    opener = gzip.open if path.endswith('.gz') else open
    with opener(path, 'rt', encoding='utf-8', errors='ignore') as f:
        for line in f:
            m = line_re.search(line)
            if not m:
                continue
            ua = parse(m.group('ua'))
            rows.append({
                'datetime' : m.group('dt'),
                'ip'       : m.group('ip'),
                'device'   : ua.device.family,
                'os'       : ua.os.family,
                'browser'  : ua.browser.family,
                'country'  : m.group('country'),
                'region'   : m.group('region'),
                'city'     : m.group('city'),
            })

# 去重 & 排序
rows = sorted({(r['ip'], r['datetime']): r for r in rows}.values(),
              key=lambda r: r['datetime'])

os.makedirs(OUT_DIR, exist_ok=True)
with open(out_csv, 'w', newline='', encoding='utf-8') as f:
    writer = csv.DictWriter(f,
        fieldnames=['datetime','ip','device','os','browser','country','region','city'])
    writer.writeheader()
    writer.writerows(rows)

print(f'{len(rows)} records written to {out_csv}')


安装与运行

1
2
3
4
5
6
7
sudo mkdir -p /usr/local/bin /var/log/nginx/geo_daily
sudo tee /usr/local/bin/nginx_geo_daily.py < nginx_geo_daily.py
sudo chmod +x /usr/local/bin/nginx_geo_daily.py

# 手动执行 在/home/xxx/nginx_geo_daily/ 生成文件
/usr/local/bin/nginx_geo_daily.py

  • 定时任务

每天23:05执行

1
2
3
4
5
crontab -e

5 23 * * * /usr/bin/python3 /usr/local/bin/nginx_geo_daily.py >> ~/nginx_geo_daily/cron.log 2>&1