可通过宝塔面板安全入口日志、运行日志命令行分析及终端脚本三种方式获取近24小时高频访问IP:一、在安全模块中筛选自定义24小时内的安全入口日志并手动/导出统计;二、用grep+awk命令从bt_panel.log提取并排序IP频次,支持排除内网地址;三、在面板终端运行awk脚本快速输出TOP5 IP及详情。
如果您需要掌握宝塔面板近期的访问来源分布,尤其是识别高频访问IP以排查异常登录或潜在安全风险,则可通过面板内置的安全日志与访问统计功能定位过去24小时内的高频访问IP。以下是具体操作路径:
一、通过安全入口日志筛选最近24小时记录
宝塔面板会自动记录所有尝试访问面板安全入口(即 /xxx 形式路径)的请求,包含真实IP、时间戳、响应码等关键字段,该日志默认保留且支持按时间段精确过滤。
1、使用SSH工具登录服务器,执行命令:/etc/init.d/bt default,确认当前面板地址及端口。
2、在浏览器中访问面板,登录后点击左侧菜单栏的安全模块。
3、在安全页面中,点击安全入口日志选项卡。
4、在日志列表上方的时间筛选区域,点击自定义时间,设置起始时间为当前时间减去24小时,结束时间为当前时间。
5、点击搜索按钮,加载该时段全部入口访问记录。
6、观察列表中的IP地址列,手动统计或导出CSV后用Excel按IP频次排序,即可识别访问次数最多的IP。
二、查看面板运行日志并提取IP访问频次
面板运行日志(bt_panel.log)完整记录每次HTTP请求的客户端IP和路径,原始数据粒度更细,适合进行命令行级聚合分析。
1、通过SSH连接服务器,进入面板日志目录:cd /www/server/panel/logs。
2、执行命令提取过去24小时内含“GET”或“POST”且路径匹配安全入口格式的记录:grep "$(date -d '24 hours ago' '+%Y-%m-%d %H')" bt_panel.log | grep -E 'GET|POST' | awk '{print $1}' | sort | uniq -c | sort -nr | head -10。
3、该命令将输出访问频次排名前10的IP地址及其对应次数,其中第一列为计数,第二列为IP。
4、若需排除本地回环(127.0.0.1)及内网地址,可在管道中追加:| grep -vE '^(127\.|192\.168\.|10\.|172\.(1[6-9]|2[0-9]|3[0-1])\.)'。
三、利用宝塔终端执行实时IP统计脚本
面板自带终端功能可直接运行轻量脚本,避免切换SSH环境,适用于快速响应场景。
1、登录面板后,点击左侧菜单栏的终端。
2、在终端界面中输入以下命令并回车:awk -v d="$(date -d '24 hours ago' '+%Y-%m-%d %H:%M')" '$0 > d {print $1}' /www/server/panel/logs/bt_panel.log 2>/dev/null | sort | uniq -c | sort -nr | head -5。
3、等待执行完成,结果将直接显示过去24小时内访问次数最多的前5个IP及其频次。
4、如需查看某IP的完整访问行为,可用命令:grep '填写IP地址' /www/server/panel/logs/bt_panel.log | tail -n 20。
