依照你描述的需求, 我個人會這樣處理:
1. 找出登入失敗的log
2. 依照空白切割欄位, 然後就可以找出特定欄位的資料, 這應該夠用了

<?php // 你的log array $logs[0] = 'Oct 1 02:04:46 ns1 sshd[8675]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.123.123.123 user=xxxx'; $logs[1] = 'Oct 1 02:04:48 ns1 sshd[8675]: Failed password for root from 123.111.111.111 port 62511 ssh2 1'; // 這語法只限 php 5.3 以上版本可用 $login_failed_filter = function($value){ return substr_count($value, 'Failed password for'); }; $fail_login_logs = array_filter( $logs, $login_failed_filter ); // php 5.2及以下的這樣寫 function login_failed_filter($value){ return substr_count($value, 'Failed password for'); } $fail_login_logs = array_filter( $logs, "login_failed_filter" ); // 經過以上處理, $fail_login_logs裡面只會有登入失敗的log foreach($fail_login_logs as $value){ echo "log is : $value\n"; // 看這格式, 欄位用空白去切割應該就行了 $fields = split(" ", $value); // 第九欄是id, 第十一欄是ip echo "account $fields[8] from $fields[10]\n"; }

ahsac 大大：
1. 找出登入失敗的log <=== 這我已經過濾出來了
2. 依照空白切割欄位, 然後就可以找出特定欄位的資料, 這應該夠用了
關於2的情況，我有想過，但我是使用explode來切，不過意思應該是一樣。
這樣就上列兩行列子確實可以成立，切出來的第11欄位置即是ip的位置，但我真實log內容有幾萬行，
過濾完後也還有幾千行，用切空白的情況，ip位置改變，印出來的資料即不相同了，
是可以再使用正規化情況去判斷每一個陣位欄位中資料，何者為正確ip。
但不知道是否還有其他方式可以直接找出ip位置，或者是php有沒有相對應的函式可使用。

但在此非常謝謝ahsac 大大，呵！也表示我一開始的想法也算是有通吧！

$data[] = "Oct 1 02:04:46 ns1 sshd[8675]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=55.123.123.123 user=xxxx"; $data[] = "Oct 1 02:04:48 ns1 sshd[8675]: Failed password for root from 123.111.111.111 port 62511 ssh2 1"; $data[] = "Oct 1 02:04:46 ns1 sshd[8675]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=12.123.123.123 user=xxxx \n Oct 1 02:04:48 ns1 sshd[8675]: Failed password for root from 123.111.111.111 port 62511 ssh2 1"; foreach($data AS $string) { preg_match_all('/(\d{1,2}|1\d\d|2[0-4]\d|25[0-5])\.(\d{1,2}|1\d\d|2[0-4]\d|25[0-5])\.(\d{1,2}|1\d\d|2[0-4]\d|25[0-5])\.(\d{1,2}|1\d\d|2[0-4]\d|25[0-5])/',$string,$test); print_r($test); }
這段正則給你吧。可以找出字串中可能是IP的字串出來。第三個參數就是給你處理如果一次載入全篇字串用時的測試。

補充一下：

依照上面的程式，如果是依照第三個$data的值。(也就是有兩個IP)
其帶出來的值就是
Array ( [0] => Array ( [0] => 12.123.123.12 [1] => 123.111.111.11 ) [1] => Array ( [0] => 12 [1] => 123 ) [2] => Array ( [0] => 123 [1] => 111 ) [3] => Array ( [0] => 123 [1] => 111 ) [4] => Array ( [0] => 12 [1] => 11 ) )
其中的第$test[0]項就是你要的所有的可能性IP了。剩下的你是可以勿略。也可以拿來做特殊的應用。因為[1]~[4]就是屬於IP各區段的值。
可以拿來做分析用。如果是被攻擊的情況。可以拿來統計各區段的出現比例。

oh, 我誤會你原本意思了
我一開始以為你只要取出第二行那種格式的紀錄裡面的ip

平常我很愛用正則表達式, 但log分析時除外
因為有一次要分析公司server上的紀錄, 一天少說兩億多筆, 用正則表達式跑完一次都半天過去了
或許你目前沒處理到這麼多, 就當經驗分享吧
所以現在處理log我會先把好處理的格式用空白分隔, 剩下的空格位置不定的, 再交給正則表達式
$logs[0] = 'Oct 1 02:04:46 ns1 sshd[8675]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.123.123.123 user=xxxx'; $logs[1] = 'Oct 1 02:04:48 ns1 sshd[8675]: Failed password for root from 123.111.111.111 port 62511 ssh2 1'; foreach($logs as $log_str){ $fields = split(" ", $log_str); // 第一種格式 if(substr_count($log_str, 'pam_unix(sshd:auth): authentication failure;')){ // 用 substr去掉固定多餘的字元 $ip = substr($fields[13], 6); // 第二種格式 }elseif(substr_count($log_str, 'Failed password for')){ $ip = $fields[10]; // 剩下的交給正則表達式 }else{ preg_match_all('/(?:(?:[01]?\d\d?|2[0-4]\d|25[0-5])\.){3}(?:[01]?\d\d?|2[0-4]\d|25[0-5])/',$log_str,$matched); $ip = $matched[0][0]; } echo "ip = $ip\n"; }

但我的作法就沒辦法像樓上這樣還能幫你把ip段切好嘍
我也偷學起來了 :)

在這邊非常感謝浩瀚星空版主，當然也非常謝謝ahsac大大，
在這邊真的讓我受益良多。
我一開始的想法和ahsac大大差不多，當然我的寫法沒辦法像你這麼漂亮，
至於版主的方式，正是我想學習的，真的很感謝兩位，讓我又學到不少。

ps 這不是我的工作或作業，只是上課聽到老師提過log檔分析，我就心血來潮，
想說能不能用php來做一個log分析試試，感謝兩位的協助。

不用客氣，這些資源都是早期在學正則時留下來的。還有身份証、EMAIL....

說真的我正則也是還在學習中。