Поиск ботов, по нескольким условиям

Mon, 22 Aug 2016 13:15:39 +0200|178.57.66.225|fxsciaqulmlk| - |user logged in| -
Mon, 22 Aug 2016 13:15:39 +0200|178.57.66.225|fxsciaqulmlk| - |user changed password| -
Mon, 22 Aug 2016 13:15:39 +0200|178.57.66.225|fxsciaqulmlk| - |user logged off| -
Mon, 22 Aug 2016 13:15:42 +0200|178.57.66.225|faaaaaa11111| - |user logged in| -
Mon, 22 Aug 2016 13:15:49 +0200|178.57.66.215|terdsfsdfsdf| - |user logged in| -
Mon, 22 Aug 2016 13:15:49 +0200|178.57.66.215|terdsfsdfsdf| - |user changed password| -
Mon, 22 Aug 2016 13:15:49 +0200|178.57.66.215|terdsfsdfsdf| - |user logged off| -
Mon, 22 Aug 2016 13:15:59 +0200|178.57.66.205|erdsfsdfsdf| - |user logged in| -
Mon, 22 Aug 2016 13:15:59 +0200|178.57.66.205|erdsfsdfsdf| - |user logged in| -
Mon, 22 Aug 2016 13:15:59 +0200|178.57.66.205|erdsfsdfsdf| - |user changed password| -
Mon, 22 Aug 2016 13:15:59 +0200|178.57.66.205|erdsfsdfsdf| - |user logged off| -
Mon, 22 Aug 2016 13:17:50 +0200|178.57.66.205|abcbbabab| - |user logged in| -
Mon, 22 Aug 2016 13:17:50 +0200|178.57.66.205|abcbbabab| - |user changed password| -
Mon, 22 Aug 2016 13:17:50 +0200|178.57.66.205|abcbbabab| - |user changed profile| -
Mon, 22 Aug 2016 13:17:50 +0200|178.57.66.205|abcbbabab| - |user logged off| -
Mon, 22 Aug 2016 13:19:19 +0200|178.56.66.225|fxsciulmla| - |user logged in| -
Mon, 22 Aug 2016 13:19:19 +0200|178.56.66.225|fxsciulmla| - |user changed password| -
Mon, 22 Aug 2016 13:19:19 +0200|178.56.66.225|fxsciulmla| - |user logged off| -
Mon, 22 Aug 2016 13:20:42 +0200|178.57.67.225|faaaa0a1111| - |user logged in| -

#объявляю файлы
log_file=/root/log2
log_after=/root/after_log
temp_file=/root/temp
temp_file2=/root/temp2
uniq_file=/root/uniq
uniq_file2=/root/uniq2
result_uniq=/root/result_uniq
 
#чищу их
cat /dev/null > $log_after
cat /dev/null > $temp_file
cat /dev/null > $temp_file2
cat /dev/null > $uniq_file
cat /dev/null > $uniq_file2
cat /dev/null > $result_uniq
 
#вывожу только операции входа в систему, смены пароля и выхода в новый лог
grep "changed password\|logged in\|logged off" $log_file > $log_after
#вывожу имя пользователя и айпишник в отдельный файл
cat $log_after | awk '{print $6}' | awk -F "|" '{print $2,$3}' >  $temp_file
#вывожу время в отдельный файл
cat $log_after | awk '{print $5}' > $temp_file2
#считаю уникальные значения по пользователям
uniq -c $temp_file | awk '{print $1}' > $uniq_file
#считаю уникальные значения по времени
uniq -c $temp_file2 | awk '{print $1}' > $uniq_file2
 
#сравниваю два файла с уникальными значениями, если
#значения с одинаковым временем и одинаковым именем
#пользователя совпадает, мы получим пустой файл
awk 'FNR==NR{a[$1]++;next}!a[$1]' $uniq_file  $uniq_file2  > $result_uniq
 
if [ -s $result_uniq ] && [ -f $result_uniq ]; then
 echo "File is not  empty"
 echo "Differences:"
 cat $result_uniq
 echo "Need to think"
 exit 0
else
 echo "File is empty"
 echo "We can use one file from uniq"
fi
 
#если мы получаем пустой файл, то мы можем использовать любой из
#темповских файлов для отображения, кто бот, если количество уникальных 
#значений больше двух, значит это бот
uniq -c $temp_file | awk '{ if ($1 > 2)  print "The bot is user",$3,"with ip",$2 }'

File is empty
We can use one file from uniq
The bot is user fxsciaqulmlk with ip 178.57.66.225
The bot is user terdsfsdfsdf with ip 178.57.66.215
The bot is user erdsfsdfsdf with ip 178.57.66.205
The bot is user abcbbabab with ip 178.57.66.205
The bot is user fxsciulmla with ip 178.56.66.225

sed '
    :1
    $! N
    /\([^|]\+|\).*\n\1/s/\n/ /
    t1
    /logged in.*changed password.*logged off/! D
    s/[^|]\+|\([^|]\+\)|\([^|]\+\)|[^\n]*/The  user \2 with ip \1 is BOT/
    P
    D
    ' log.file |
sort -u

perl -ne'
    ($key,$value) = split/[ ][-]/;
 
    push @{ $x{$key} }, $value;
 
    END { print @$aref > 1 ? "$key!!!БОТ!!!\n" : "" while ($key,$aref) = each %x } 
        ' log.file |
sort -u