售前咨询
技术支持
渠道合作

读《Linux Shell脚本攻略》第8章笔记

1. du
-a:递归地输出指定目录或多个目录中所有文件的统计结果
-h:以KB、MB或块(block)为单位显示磁盘使用情况
-c:显示磁盘使用总计
-s:只输出合计数据(summarize)
–exclude:从磁盘使用统计中排除部分文件
–exclude-from:从文件中获取需要排除的文件列表
–max-depth:指定du应该遍历的目录层次的最大深度

# du -ak /root | sort -nrk 1 | head -n 10 #找到指定目录/root中最大的10个文件

2. time command

# time ls -d /root
/root

real 0m0.003s
user 0m0.000s
sys 0m0.000s

real时间指的是挂钟时间(wall clock time),也就是命令从开始执行到结束的时间。这段时间包括其他进程所占用的时间片(time slice)以及进程被阻塞时所花费的时间

user时间指的是进程花费在用户模式(user-mode)中的CPU时间。这是唯一真正用于执行进程所花费的世界。执行其他进程以及话费在阻塞状态中德时间并没有计算在内

sys时间是指进程花费在内核模式(in the kernel)中德CPU时间。它代表在内核中执行系统调用所使用的世界,这和库代码(librarycode)不同,后者仍旧运行在用户空间(user space)。与“user世界”类似,这也是真正由进程使用的CPU时间

time命令的可执行二进制文件位于/usr/bin/time,还有一个Shell内建命令也叫做time,当运行time时,默认调用的Shell的内建命令,Shell内建的time命令选项有限。因此,如果我们需要使用另外的功能,就应该使用可执行文件time的绝对路径(/usr/bin/time)。

time其他参数
-o:将命令执行时间写入文件
-a:追加到文件(append)
-f:利用格式化字符串格式化时间输出
real: %e
user: %U
sys: %S

# /usr/bin/time -f “Time: %U” -a -o timing.log uname

3. 打印出10条最常使用的命令
cat /root/.bash_history | awk ‘{ list[$1]++ } END { for(i in list) {printf(“%s\t%d\n”,i,list[i]);}}’ | sort -nrk 2 | head

将历史命令通过管道将源输入传递给awk。在awk中,使用一个关联数组。这个数组将命令名作为索引,将命令出现的次数作为数组元素值。命令每出现一次,

计数值增加1(list[$1]++)。$1是输入文本行的第一个单词。如果是用$0,则包含输入文本行中的所有单词。sort -nrk

2对第2列(count)按照数值逆向排序

4. 列出1小时内占用CPU最多的10个进程

#!/bin/bash
 #Name: pcpu_usage.sh
 #Description: Script to calculate cpu usage by processes for 1 hour
 
SECS=3600
 #Change the SECS to custom seconds
 
STEPS=$(( $SECS / 60 ))
 
echo Watching CPU usage... ;
 
logfile=/tmp/cpu_usage.$
 
for((i=0;i<STEPS;i++)) do ps -eo comm,pcpu,pid | sort -k2nr |head -30 >> $logfile
 # sleep 60
 done
 
echo
 echo CPU eaters :
 
awk '{ process[$1 FS $3]+=$2; }
 END{ for(i in process) print i, process[i] }' $logfile | sort -k2nr | head | cut -d" " -f1

5. watch动态监控命令输出
-n:后面更时间(秒),每多少秒更新一次输出
-d:将时间间隔前后的命令输出差异以不同颜色突出标示出来

6. inotify
inotifywait -m -r -e create,move,delete
-m:表明要持续监视变化,而不是在事件发生之后退出
-r:允许采用递归形式监视目录
-q:用于减少冗余信息,只打印出所需要的信息
-e:指定需要监视的事件列表
事件 描述
access 读取文件
modify 文件内容被修改
attrib 文件元数据被修改
move 对文件进行移动操作
create 生成新文件
open 对文件进行打开操作
close 对文件进行关闭操作
delete 文件被删除

7. logrotate
missingok 如果日志文件丢失,则忽略;然后返回(不对日志系统进行轮替)
notifempty 仅当源日志文件非空时才对其进行轮替
size 30k 限制实施轮替的日志文件大小。可以用1M表示1MB
compress 允许用gzip对较旧的日志进行压缩
weekly 指定进行轮替的世界间隔。可以是weekly,yearly或daily
rotate 5 这是需要保留的旧日志文件的归档数量,以1.gz、2.gz…5.gz结尾
create 066 root root 指定所要创建的归档文件的模式、用户以及用户组

8. 通过监视用户登录找出入侵者

#!/bin/bash
#Filename: intruder_detect.sh
#Description: Intruder reporting tool with secure input
AUTHLOG=/var/log/secure
if [[ -n $1 ]];
then
  AUTHLOG=$1
  echo Using Log file : $AUTHLOG
fi
 
LOG=/tmp/valid.$$.log
grep  -v "invalid" $AUTHLOG > $LOG
users=$(grep "Failed password" $LOG | awk '{ print $(NF-5) }' | sort | uniq)
printf "%-5s|%-10s|%-10s|%-13s|%-33s|%s\n" "Sr#" "User" "Attempts" "IP address" "Host_Mapping" "Time range"
 
ucount=0;
ip_list="$(egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" $LOG | sort | uniq)"
for ip in $ip_list;
do
  grep $ip $LOG > /tmp/temp.$$.log
 
for user in $users;
do
  grep $user /tmp/temp.$$.log> /tmp/$$.log
  cut -c-16 /tmp/$$.log > $$.time
  tstart=$(head -1 $$.time);
  start=$(date -d "$tstart" "+%s");
  tend=$(tail -1 $$.time);
  end=$(date -d "$tend" "+%s")
  limit=$(( $end - $start ))
 
  if [ $limit -gt 120 ];
  then
    let ucount++;
    IP=$(egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" /tmp/$$.log | head -1 );
    TIME_RANGE="$tstart-->$tend"
    ATTEMPTS=$(cat /tmp/$$.log|wc -l);
    HOST=$(host $IP | awk '{ print $NF }' )
    printf "%-5s|%-10s|%-10s|%-10s|%-33s|%-s\n" "$ucount" "$user" "$ATTEMPTS" "$IP" "$HOST" "$TIME_RANGE";
  fi
done
done

上一篇:

下一篇:

相关文章