一些不常用但有用的命令

1、查看当前系统中 GLIBC 库所支持的版本信息:

strings /lib64/libc.so.6 | grep GLIBC_

2、查看文件或目录的文件系统类型：

stat -fc %T /root/anaconda-ks.cfg

3、显示处于不可中断睡眠状态的进程

ps aux | awk '$8 == "D"'

4、sar命令常用参数

-q：显示系统的运行队列和负载信息
-u：显示CPU的使用情况
-r：显示内存使用情况，
-S：用于报告交换空间的使用情况
-b：显示磁盘I/O统计信息
-d：按设备显示磁盘I/O统计信息
-f: 指定从特定的二进制数据文件中读取系统活动数据
-n DEV：显示网络设备的统计信息
-n TCP：显示TCP连接的统计信息

# 示例：每隔5秒显示一次CPU使用情况
sar -u 5
# 示例：查看昨天的cpu使用情况
sar -u -f /var/log/sa/sa$(date -d "yesterday" +%d)

5、定位哪些用户的进程处于R/D状态且数量较多

ps -eo s,user | grep ^[RD] | sort | uniq -c | sort -nbr | head -20
ps -eo s,user,cmd | grep ^[RD] | sort | uniq -c | sort -nbr | head -20

6、查找包含解码后文本的日志条目

ausearch -i -m PROCTITLE -ts today | grep "iptables -I INPUT"
ausearch -i -m PROCTITLE -ts today | grep -B 10 -A 10 "iptables -I INPUT"

-i：将审计事件中的数字代码转换为可读的文本。
-m PROCTITLE：只搜索进程标题相关的事件。
-ts today：只搜索今天发生的事件。

7、审计进程创建相关上下文

auditctl -a exit,always -F arch=b64 -S execve
auditctl -a exit,always -F arch=b32 -S execve
ausearch -i -m EXECVE -p <PID>

8、快速查看用户尝试登录记录

journalctl -u sshd.service | grep "Accepted"
journalctl -u sshd.service | grep "Failed"
journalctl -u sshd.service -perr

9、perf常见用法

perf top -s pid,comm,dso,symbol,overhead,sample

10、统计进程PID

ps -eLF | awk '{print $2}' | tail -n +2 | sort -n | uniq > tmp.b
find /proc -maxdepth 1 -type d -regex '/proc/[0-9]+' -exec basename {} \; | sort -n > tmp.a