Esto es una pequeña ayuda que uso ver rapidamente si tengo alguna IP accediendo de forma masiva a un servicio, En este caso lo muestro para el access log de NGINX
cut -f 1 -d " " access.log | sort | uniq -c | sort -k1,1rn -k2,2rn
-f 1 ( campo en el que estan las IPs) en este caso el primero
-d » » indica el separador, en este caso separado por espacios
ordena y muestrame las IPs unicas y las veces que aparecen
3345 192.148.213.XX 2749 192.168.X.X 687 216.245.221.XX 596 192.168.x.x 166 208.115.199.XX 132 92.14.83.XX 127 192.168.10.XX 107 94.254.171.XX