📊 **系统监控与资源排查**:通过组合`top`、`free`、`df`等命令,可一站式快速获取CPU、内存、根分区核心状态,并通过`ps`命令定位高CPU/内存消耗进程。针对磁盘IO瓶颈,`vmstat`能展示IO等待情况;对于网络流量,`sar`命令可实时监控指定网卡流量;`w`命令则用于查看当前登录用户及其信息,快速识别潜在的非法登录。
📝 **日志分析与数据提取**:面对海量日志,可运用`grep`、`awk`、`sed`等工具组合,实现高效数据提取。例如,快速统计特定日期错误日志数量,找出产生500错误的IP和URL Top 10,实时监控SSH登录事件,或提取特定时间段内的异常日志。`zgrep`还能直接处理压缩日志文件,省去解压步骤。
📁 **文件管理与批量操作**:自动化处理重复性文件操作。通过`find`配合`-exec`可批量删除过期文件;使用`for`循环和`mv`命令为文件批量添加日期后缀;`sed -i`可实现批量替换文件内容;`tar`命令支持排除特定目录进行打包,`scp`则能批量传输文件到远程服务器。`awk`则可用于对比文件,过滤黑名单IP。
⚙️ **进程与服务管理**:高效管控服务状态。`systemctl status`结合`journalctl`能快速查看服务状态和近期日志;`ps`配合`grep`和`xargs kill`可强制终止指定进程;`nohup`命令确保后台进程在终端关闭后依然运行;`pgrep`结合逻辑或操作符`||`可实现服务的简单保活,确保服务异常时自动重启。
🌐 **网络连接与故障排查**:快速诊断网络问题。`netstat`或`ss`命令用于检查端口监听状态;`telnet`或`nc`可测试目标端口的连通性;`traceroute`用于跟踪网络链路,定位延迟或丢包节点。`ss`命令还能统计连接到特定端口最多的IP,有效识别潜在的恶意访问。
🔒 **权限与安全审计**:强化服务器安全防护。`find`命令可查找具有不安全权限(如777)的文件,并可配合`chmod`进行安全修改。`getfacl`用于查看详细的ACL权限设置,辅助排查用户访问权限问题。
数安智信 2025-10-28 07:15 广东
解决99%日常运维需求,看完就能用!
top -b -n 1:非交互模式输出 1 次系统状态,避免进入 top 交互界面;
grep Cpu:过滤 CPU 行,awk提取使用率;free -h:人性化显示内存,grep Mem聚焦内存行;df -h | grep /$:只看根分区(避免显示其他挂载点),提取使用率和空闲空间。实战案例注意事项\[root \~]# top -b -n 1 | grep Cpu | awk '{print "CPU使用率:"\$2"%"}' && free -h | grep Mem | awk '{print "内存使用率:"\$3"/"\$2"("\$7"空闲)"}' && df -h | grep /\$ | awk '{print "根分区使用率:"\$5"("\$4"空闲)"}'CPU使用率:12.3%内存使用率:1.2Gi/7.7Gi(6.3Gi空闲)根分区使用率:45%(50G空闲)
若根分区挂载点不是/(比如特殊系统),需把grep /$改成实际挂载点(如grep /root)。
ps -eo:自定义输出字段(pid = 进程 ID,ppid = 父进程 ID,% cpu=CPU 占比,% mem = 内存占比,cmd = 进程命令);
--sort=-%cpu:按 CPU 占比倒序排列(-表示倒序);head -10:只显示前 10 条,避免输出过长。实战案例注意事项\[root@web01 \~]# ps -eo pid,ppid,%cpu,%mem,cmd --sort=-%cpu | head -10  PID PPID %CPU %MEM CMD12345 1 35.2 8.5 /usr/bin/java -jar app.jar # 发现Java进程占CPU最高12367 12345 12.1 2.3 /usr/bin/python3 monitor.py...
若想查 “吃内存最多” 的进程,把--sort=-%cpu改成--sort=-%mem。
find / -type f -size +100M:从根目录找所有大小超过 100M 的文件(-type f指定文件,避免目录);
2>/dev/null:忽略权限不足的报错(比如/proc目录下的文件);xargs du -sh:对找到的文件逐个计算大小(-s单文件,-h人性化显示);sort -hr:按大小倒序排列(-h识别 “G/M” 单位,-r倒序)。实战案例注意事项\[root@web01 \~]# find / -type f -size +100M 2>/dev/null | xargs du -sh | sort -hr5.2G /var/log/nginx/access.log # 发现Nginx访问日志没切割,占5.2G800M /tmp/large\_file.tar.gz...
若想找 “大于 1G” 的文件,把+100M改成+1G;
删除大文件前先确认用途(比如access.log若在使用,需先切割再删除)。vmstat 1 5:每 1 秒输出 1 次系统 IO 状态,共输出 5 次(避免单次数据不准);
NR>1:跳过 vmstat 的表头行;$16:vmstat 输出中 “wa” 字段(IO 等待时间,单位 ms),$17:“st” 字段(等待 IO 的进程数)。实战案例注意事项\[root \~]# vmstat 1 5 | awk 'NR>1 {print "平均等待IO时间:"\$16"ms 等待IO进程数:"\$17"个"}'平均等待IO时间:2ms 等待IO进程数:0个平均等待IO时间:3ms 等待IO进程数:0个... # 若wa持续超过10ms,说明IO有瓶颈
若 wa 长期超过 20ms,需进一步用iostat -x 1查看具体磁盘的 IO 情况(如sda的 util% 是否接近 100%)。
sar -n DEV 1 3:每 1 秒输出 1 次网卡流量,共 3 次(-n DEV指定网卡统计);
grep -v Average:排除最后一行的平均值(只看实时数据);awk '/eth0/:只过滤 eth0 网卡的行,$5是接收流量(rxkB/s),$6是发送流量(txkB/s)。实战案例注意事项\[root \~]# sar -n DEV 1 3 | grep -v Average | awk '/eth0/ {print "网卡eth0:接收"\$5"KB/s 发送"\$6"KB/s"}'网卡eth0:接收1200KB/s 发送300KB/s网卡eth0:接收1350KB/s 发送280KB/s... # 若接收流量持续超过10000KB/s(约100Mbps),可能是被攻击
先通过ip addr确认网卡名(如 centos7 可能是ens33,不是eth0),再替换命令中的网卡名。
w:查看当前登录用户及操作;
NR>1:跳过 w 的表头;$1是用户名,$3是登录 IP(若本地登录是localhost),$4是登录时间。实战案例注意事项\[root \~]# w | awk 'NR>1 {print "登录用户:"\$1" 登录IP:"\$3" 登录时间:"\$4}'登录用户:root 登录IP:192.168.1.100 登录时间:10:23登录用户:admin 登录IP:10.0.0.5 登录时间:11:05 # 若IP不在信任列表,需排查
若想查 “历史登录记录”,改用last -n 10(显示最近 10 次登录)。
二、日志分析与数据提取类(6 个):从海量日志中抓关键信息grep -i "error":忽略大小写找含 “error” 的行(避免漏 “Error”“ERROR”);
grep -E "2025-09-08":用正则匹配指定日期(日志需带时间戳,Nginx 默认日志格式含日期);wc -l:统计符合条件的行数(即错误次数)。实战案例注意事项\[root \~]# grep -i "error" /var/log/nginx/error.log | grep -E "2025-09-08" | wc -l128 # 9月8日共128条错误日志,需进一步看具体错误
若日志时间格式是 “09/Sep/2025”,需把日期改成"08/Sep/2025"(对应 Nginx 的%d/%b/%Y格式)。
grep "500":过滤状态码为 500 的请求($9是 Nginx 日志的状态码字段);
awk '{print $1,$7,$9}':提取 IP($1)、URL($7)、状态码($9);sort | uniq -c:按 “IP+URL” 去重并统计次数(uniq -c计数);sort -nr:按次数倒序,head -10取前 10。实战案例注意事项\[root \~]# grep "500" /var/log/nginx/access.log | awk '{print \$1,\$7,\$9}' | sort | uniq -c | sort -nr | head -10  23 192.168.1.200 /api/pay 500 # 该IP访问支付接口500错误23次  18 10.0.0.8 /api/order 500...
需确认 Nginx 日志格式:若自定义格式中 IP 不是$1、URL 不是$7,需调整awk的字段序号(可先head -1 access.log看日志结构)。
tail -f:实时跟踪日志文件(新内容会自动输出);
grep --line-buffered "ssh":缓冲每行内容(避免实时输出延迟),过滤含 “ssh” 的行;awk:区分 “Accepted”(成功登录)和 “Failed”(失败),标注后输出。实战案例注意事项\[root \~]# tail -f /var/log/messages | grep --line-buffered "ssh" | awk '/Accepted/ {print "正常登录:"\$0} /Failed/ {print "登录失败:"\$0}'正常登录:Sep 8 14:30:01 web01 sshd\[12345]: Accepted password for root from 192.168.1.100 port 5678 ssh2登录失败:Sep 8 14:32:05 web01 sshd\[12367]: Failed password for root from 203.0.113.5 port 1234 ssh2 # 陌生IP尝试登录,需拦截
部分系统 SSH 日志在/var/log/secure,需把/var/log/messages改成对应路径。
sed -n '/开始时间/,/结束时间/p':提取两个时间戳之间的日志(-n静默模式,p打印匹配内容);
grep "Exception":过滤含 “Exception” 的异常行(Java 日志中异常通常含此关键词)。实战案例注意事项\[root \~]# sed -n '/2025-09-08 14:00:00/,/2025-09-08 14:30:00/p' /var/log/tomcat/catalina.out | grep "Exception"2025-09-08 14:15:23 ERROR \[http-nio-8080-exec-5] com.xxx.service.UserService: NullPointer Exception at line 123 # 找到空指针异常
日志时间格式必须和sed中的匹配(比如含空格、冒号的位置),否则提取不到内容;
若时间段内日志太多,可加head -100先看前 100 行,避免输出过长。awk -F '|':指定字段分隔符为 “|”(默认是空格);
print $3:提取第 3 个字段(即接口名);sort | uniq -c:去重并统计次数,sort -nr倒序,head -5取前 5。实战案例注意事项\[root \~]# awk -F '|' '{print \$3}' /var/log/app/log.txt | sort | uniq -c | sort -nr | head -5  1256 /api/user/login # 登录接口调用最多,符合业务预期  890 /api/user/info  678 /api/order/list...
先通过head -1 log.txt确认字段分隔符和接口名所在的字段序号(比如分隔符是 “,”,就把-F '|'改成-F ',')。
zgrep:直接 grep 压缩文件(支持.gz 格式),避免gunzip解压步骤;
wc -l:统计 timeout 错误次数。实战案例注意事项\[root \~]# zgrep "timeout" /var/log/nginx/access.log-20250907.gz | wc -l45 # 昨天共45次timeout错误
若压缩格式是.bz2,改用bzgrep;若想同时查多个压缩文件,用zgrep "timeout" access.log-202509*.gz。
三、文件管理与批量操作类(6 个):告别重复手动操作find /data/backup:指定查找目录;
-name "*.tar.gz":只找后缀为.tar.gz 的文件;-mtime +7:修改时间超过 7 天(+7表示 7 天前,-7是 7 天内);-exec rm -f {} \;:对找到的文件执行删除操作({}代表找到的文件,\;结束 exec 命令)。实战案例注意事项\[root@web01 \~]# find /data/backup -name "\*.tar.gz" -mtime +7 -exec rm -f {} \\;\# 执行后,7天前的.tar.gz文件被删除,可通过ls确认\[root@web01 \~]# ls /data/backupbackup\_20250902.tar.gz backup\_20250908.tar.gz # 只剩7天内的文件
首次执行前,建议把rm -f改成ls -l(先查看要删除的文件,确认无误再删),避免误删;
若想按 “访问时间” 删除,把-mtime改成-atime。for file in /data/logs/*.log:循环遍历所有.log 文件;
date +%Y%m%d:生成当前日期(如 20250908);mv "$file" "$file.日期":给每个文件加日期后缀(双引号避免文件名含空格时出错)。实战案例注意事项\[root \~]# ls /data/logsaccess.log error.log\[root \~]# for file in /data/logs/\*.log; do mv "\$file" "\$file.\$(date +%Y%m%d)"; done\[root \~]# ls /data/logsaccess.log.20250908 error.log.20250908
若想加 “年月日时分”(如 202509081430),把date +%Y%m%d改成date +%Y%m%d%H%M。
sed -i:直接修改文件内容(-i原地替换,不加-i只预览不修改);
s/旧内容/新内容/g:替换语法(s=substitute,g=global 全局替换,避免只换第一处);/etc/config/*.conf:指定要修改的文件(所有.conf)。实战案例注意事项\[root \~]# grep "old\_ip" /etc/config/app.confold\_ip=192.168.1.10\[root \~]# sed -i 's/old\_ip=192.168.1.10/old\_ip=192.168.1.20/g' /etc/config/\*.conf\[root \~]# grep "old\_ip" /etc/config/app.confold\_ip=192.168.1.20 # 已成功替换
若内容含特殊字符(如/),需用\转义(比如替换http://old.com为http://new.com,命令是s/http:\/\/old.com/http:\/\/new.com/g);
先在 1 个文件上测试(如sed -i.bak 's/...' app.conf,生成.bak 备份文件),确认无误再批量修改。tar -zcvf:打包压缩(z用 gzip 压缩,c创建包,v显示过程,f指定包名);
app_$(date +%Y%m%d).tar.gz:备份包名含日期;--exclude=/data/app/logs:排除 logs 目录(避免备份日志)。实战案例注意事项\[root \~]# tar -zcvf /data/backup/app\_20250908.tar.gz /data/app --exclude=/data/app/logs/data/app//data/app/config//data/app/bin/ # 未包含logs目录...\[root \~]# ls /data/backupapp\_20250908.tar.gz
若要排除多个目录,加多个--exclude(如--exclude=logs --exclude=tmp);
备份前确认目标目录空间足够(可用df -h /data/backup查看)。scp -r:远程拷贝(-r递归拷贝目录,这里虽拷贝文件,但加-r不影响,且支持后续拷贝目录);
root@192.168.1.200:远程服务器用户名和 IP;:/data/remote_backup/:远程服务器的目标目录。实战案例注意事项\[root \~]# scp -r /data/backup/\*.tar.gz root@192.168.1.200:/data/remote\_backup/root@192.168.1.200's password: # 输入远程服务器密码app\_20250908.tar.gz 100% 500MB 100MB/s 00:05 # 传输完成
若想免密码传输,需配置 SSH 密钥对(ssh-keygen生成密钥,ssh-copy-id root@192.168.1.200分发公钥);
大文件传输建议用rsync(支持断点续传),命令是rsync -avz /data/backup/*.tar.gz root@192.168.1.200:/data/remote_backup/。NR==FNR:NR 是总行数,FNR 是当前文件行数,此条件只对第一个文件(blacklist.txt)生效;
a[$1]:把黑名单 IP 存到数组 a 中;next:跳过后续处理,继续读下一行;!($2 in a):对第二个文件(user.txt),只打印 “IP($2)不在数组 a 中” 的行。实战案例注意事项\[root \~]# cat /data/blacklist.txt192.168.1.200\[root \~]# cat /data/user.txt2025-09-08 192.168.1.100 user12025-09-08 192.168.1.200 user2 # 黑名单IP2025-09-08 10.0.0.5 user3\[root \~]# awk 'NR==FNR{a\[\$1];next} !(\$2 in a)' /data/blacklist.txt /data/user.txt2025-09-08 192.168.1.100 user1 # 过滤掉了黑名单IP的记录2025-09-08 10.0.0.5 user3
确保两个文件的 IP 字段位置正确(如 user.txt 的 IP 是2,若在3 则改!($3 in a))。
四、进程与服务管理类(4 个):快速管控服务状态systemctl status nginx:查看 Nginx 服务状态;
grep -E "active|inactive|failed":只显示核心状态(active = 运行中,inactive = 停止,failed = 失败);journalctl -u nginx:查看 Nginx 的系统日志(-u指定服务单元);--since "10 minutes ago":只看最近 10 分钟的日志,tail -20取最后 20 行。实战案例注意事项\[root@web01 \~]# systemctl status nginx | grep -E "active|inactive|failed"  Active: active (running) since Sun 2025-09-08 10:00:00 CST; 4h ago # 服务正常运行\[root@web01 \~]# journalctl -u nginx --since "10 minutes ago" | tail -20Sep 08 14:20:01 web01 nginx\[1234]: 192.168.1.100 - - \[08/Sep/2025:14:20:01 +0800] "GET / HTTP/1.1" 200 1234 "-" "Chrome/116.0.0.0"... # 最近10分钟日志无异常
若系统用service命令(如 centos6),把systemctl status nginx改成service nginx status,日志路径改用/var/log/nginx/error.log。
ps -ef | grep java:找所有含 “java” 的进程;
grep -v grep:排除 “grep java” 这个临时进程(避免误杀);awk '{print $2}':提取进程 ID($2 是 ps -ef 输出的 PID 字段);xargs kill -9:对提取的 PID 执行强制杀死(kill -9是强制终止,kill -15是正常终止,卡死时用-9)。实战案例注意事项\[root@web01 \~]# ps -ef | grep java | grep -v greproot 12345 1 0 10:00 ? 00:01:23 /usr/bin/java -jar app.jar\[root@web01 \~]# ps -ef | grep java | grep -v grep | awk '{print \$2}' | xargs kill -9\[root@web01 \~]# ps -ef | grep java | grep -v grep # 已无Java进程
此命令会杀死所有 Java 进程,若服务器有多个 Java 服务(如 Tomcat、Jenkins),需加更精准的过滤(如grep "app.jar"只杀指定进程),避免误杀其他服务。
nohup:忽略挂断信号(no hang up),终端退出后进程继续运行;
> /data/logs/app.log:把标准输出(stdout,脚本的正常输出)重定向到 app.log;2>&1:把标准错误(stderr,脚本的错误输出)也重定向到 stdout(即一起写入 app.log);最后一个&:把进程放到后台运行。实战案例注意事项\[root \~]# nohup /data/app/start.sh > /data/logs/app.log 2>&1 &\[1] 12345 # 后台进程ID\[root \~]# tail -f /data/logs/app.log # 查看启动日志2025-09-08 14:30:00 应用启动中...2025-09-08 14:30:05 应用启动成功!
确保/data/logs目录存在(不存在则先mkdir -p /data/logs),否则会报错;
查看后台进程用jobs(当前终端)或ps -ef | grep start.sh(任意终端)。pgrep -f "app.jar":根据进程名(-f匹配完整命令行)查找进程,找到返回 PID,找不到返回非 0 状态码;
||:逻辑或,只有前面命令失败(进程不存在)时,才执行后面的启动命令(/data/app/start.sh)。实战案例注意事项\# 先手动停止app.jar进程\[root@web01 \~]# pgrep -f "app.jar" # 无输出,进程不存在\[root@web01 \~]# pgrep -f "app.jar" || /data/app/start.sh2025-09-08 14:35:00 应用启动中...2025-09-08 14:35:05 应用启动成功! # 进程不存在,执行启动\# 再次检查\[root@web01 \~]# pgrep -f "app.jar"12345 # 进程已存在,不执行启动
若要加日志,把启动命令改成nohup /data/app/start.sh > /data/logs/app.log 2>&1 &(结合前面的后台启动组合);
定时任务配置(crontab -e):每 5 分钟检查一次,*/5 * * * * pgrep -f "app.jar" || nohup /data/app/start.sh > /data/logs/app.log 2>&1 &。五、网络连接与故障排查类(4 个):快速定位网络问题netstat -tulnp:查看所有监听端口(t=TCP,u=UDP,l= 监听中,n= 显示 IP 和端口(非服务名),p= 显示进程 ID 和名称);
grep :8080:过滤 8080 端口的监听情况。实战案例注意事项\[root@web01 \~]# netstat -tulnp | grep :8080tcp6 0 0 :::8080 :::\* LISTEN 12345/java # 8080端口被Java进程(Tomcat)监听,启动成功
部分系统默认没有 netstat,需先安装(centos:yum install net-tools,ubuntu:apt install net-tools);
若想查所有端口,去掉grep :8080,用netstat -tulnp | sort -n -k4按端口号排序。telnet 目标IP 端口:测试 TCP 端口连通性;
|| echo "...":若 telnet 失败(端口不通),输出提示信息。实战案例注意事项\# 端口通的情况\[root@web01 \~]# telnet 192.168.1.200 3306Trying 192.168.1.200...Connected to 192.168.1.200. # 连接成功,端口通Escape character is '^]'.\# 端口不通的情况\[root@web01 \~]# telnet 192.168.1.200 3306 || echo "MySQL端口不通"Trying 192.168.1.200...telnet: connect to address 192.168.1.200: Connection refusedMySQL端口不通 # 输出提示
若没安装 telnet,改用nc -zv 192.168.1.200 3306(z= 只扫描端口,v= 显示详细信息);
端口不通时,先在 MySQL 服务器上用netstat -tulnp | grep 3306看服务是否启动,再查防火墙(firewall-cmd --list-ports)是否开放 3306。traceroute 目标IP:跟踪从本地到目标 IP 的所有网络节点(跳数);
grep -E "^\s*[0-9]+":过滤含跳数的行(避免开头的注释行);awk:提取跳数($1)、节点 IP($2)、延迟($3),格式化输出。实战案例注意事项\[root \~]# traceroute 10.0.0.1 | grep -E "^\s\*\[0-9]+" | awk '{print "跳数:"\$1" IP:"\$2" 延迟:"\$3}'跳数:1 IP:192.168.1.1 延迟:1.243ms跳数:2 IP:10.0.0.1 延迟:5.678ms # 两跳到达,无延迟过高\# 若某跳显示“\* \* \*”,说明该节点丢包,需排查对应路由器
部分系统没安装 traceroute,需安装(centos:yum install traceroute,ubuntu:apt install traceroute);
若目标 IP 禁 ping,traceroute 可能显示不全,改用traceroute -T 目标IP(用 TCP 探测)。ss -antp:查看所有 TCP 连接(a= 所有,n= 显示 IP 端口,t=TCP,p= 显示进程);
grep :80:过滤 80 端口的连接;awk '{print $5}':提取客户端 IP 和端口($5是 ss 输出的 “客户端地址:端口” 字段);cut -d: -f1:按 “:” 分割,取 IP 部分(去掉端口);sort | uniq -c:统计每个 IP 的连接数,sort -nr倒序,head -10取前 10。实战案例注意事项\[root@web01 \~]# ss -antp | grep :80 | awk '{print \$5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -10  120 192.168.1.200 # 该IP有120个连接,若远超其他IP,可能是恶意访问  30 10.0.0.5  25 203.0.113.8...
ss 比 netstat 更快(尤其连接数多时),推荐优先用 ss;
若想限制单个 IP 的连接数,可在 Nginx 配置中加limit_conn_zone $binary_remote_addr zone=perip:10m;和limit_conn perip 50;(单 IP 最多 50 个连接)。六、权限与安全审计类(4 个):保障服务器安全find /data/app:指定查找目录;
-perm 777:只找权限为 777 的文件(777=rwxrwxrwx);-type f:只找文件(避免目录,目录 777 风险较低);2>/dev/null:忽略权限不足的报错。实战案例注意事项\[root \~]# find /data/app -perm 777 -type f 2>/dev/null/data/app/config/db.conf # 发现配置文件权限为777,有安全风险\[root \~]# chmod 644 /data/app/config/db.conf # 修改为安全权限( owner读写,其他读)
若想找 “权限含 SUID” 的危险文件(可能被提权),用find / -perm -4000 -type f 2>/dev/null(4000=SUID 位);
不要盲目把所有 777 文件改成 644,需确认文件用途(如脚本文件可能需要执行权限,改 755)。getfacl /data/app:查看目录的 ACL 权限(比ls -l更详细,支持多用户 / 组权限);
grep -E "user:|group:":只显示用户和组的 ACL 权限(避免其他冗余信息)。实战案例注意事项\[root@web01 \~]# getfacl /data/app | grep -E "user:|group:"user::rwx # 所有者权限user:admin:r-x # admin用户有读执行权限group::r-x # 所属组权限group:dev:--- # dev组无权限(可能是问题原因)
若要给用户加 ACL 权限,用setfacl -m u:admin:rwx /data/app(给 admin 用户加读写执行权限);
查看文件 ACL 权限同理,把目录改成文件路径(如getfacl /data/app/config.conf)。lastlog:显示所有用户的最后登录信息(包括系统账号);
grep -v "Never logged in":排除 “从未登录过” 的账号(减少输出)。实战案例注意事项\[root@web01 \~]# lastlog | grep -v "Never logged in"Username Port From Latestroot pts/0 192.168.1.100 Sun Sep 8 10:00:00 +0800 2025admin pts/1 10.0.0.5 Sun Sep 8 11:05:00 +0800 2025
lastlog显示的是/var/log/lastlog文件的内容,若该文件被清空,会显示不准确;
若想查 “某个用户的登录记录”,用lastlog -u admin(查看 admin 用户)。grep -E "rm -rf|chmod|chown":过滤含危险命令(rm -rf 删除,chmod 改权限,chown 改所有者)的行;
/root/.bash_history:root 用户的命令历史文件(普通用户是/home/用户名/.bash_history);tail -20:显示最后 20 条命令。实战案例注意事项\[root@web01 \~]# grep -E "rm -rf|chmod|chown" /root/.bash\_history | tail -20rm -rf /data/tmp/\* # 正常清理临时文件chmod 644 /data/app/config.confrm -rf /data/app/logs/old.log # 无异常删除
命令历史默认不记录时间,若想记录时间,需在/etc/profile中加export HISTTIMEFORMAT="%F %T ",执行source /etc/profile生效;
若用户手动清空了.bash_history,此命令无法查到,需提前配置命令审计(如用 auditd 服务)。命令组合的核心原则作者丨数安智信
来源丨公众号:运维网工(ID:gh_b3b43949212c)
dbaplus社群欢迎广大技术人员投稿,投稿邮箱:editor@dbaplus.cn
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑