[命令] Linux 命令 locate (查找文件)

内容一:locate 命令的安装

1.1 安装 locate 命令

# dnf install mlocate

1.2 更新 locate 数据库

# updatedb


注意:如果不更新 locate 数据库,在使用 locate 命令后可能会报错

locate: can not stat () `/var/lib/mlocate/mlocate.db': No such file or directory

内容二:locate 命令的选项

1) -b 或者 –basename 只显示使用指定模式匹配名称的条目
2) -c 或者 –count 只显示找的数量
3) -e 或者 –existing 只显示存在的条目
4) -i 或者 –ignore-case 查找时忽略大小写
5) -r 或者 –regexp 使用正则表达式
6) –regex 使用扩展正则表达式

内容三:locate 命令的案例

3.1 案例一:查找包含 passwd 的文件

# locate passwd

3.2 案例二:在 /etc/ 目录下查找以 sh 开头的文件

# locate /etc/sh

3.3 案例三:在当前目录下查找以 r 开头的文件并忽略大小写

# locate -i ~/r

3.4 案例四:使用正则表达式超找包含 1.txt 或 2.txt 的文件

# locate -r [1-2].txt

[步骤] auditd 的设置 (日志保存时间)

方法一:通过 auditd 配置文件设置

1.1 设置 auditd 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下:

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......


补充:这里以
1) 开启 auditd 日志 (local_events = yes) (write_logs = yes)
2) 将 auditd 日志写入 /var/log/audit/audit.log 文件 (log_file = /var/log/audit/audit.log)
3) auditd 日志每达到 8M 大小就将旧的 auditd 日志进行备份并创建新的 auditd 日志 (max_log_file = 8) (max_log_file_action = ROTATE),也可以修改成: max_log_file_action = keep_logs
4) 旧的 auditd 日志保存 5 份 (num_logs =5)
为例

1.2 让设置的 auditd 时间生效

# service auditd restart

方法二:通过 logrotate 配置文件设置

2.1 设置 auditd 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容:

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}


补充:这里以:
1) 备份的日志文件保留 30 份 (rotate 30)
2) 每天将现在的日志文件进行备份并生成新的日志文件 (dayly)

2.2 让设置的 auditd 时间生效

# systemctl restart logrotate.service

[命令] Linux 命令 rpm2cpio 和 cpio (提取 RPM 文件 (安装包) 里的子文件)

内容一:rpm2cpio 命令和 cpio 命令的减价

1.1 rpm2cpio 命令

将 RPM 文件 (安装包) 转换为 cpio 格式

1.2 cpio 命令

从 cpio 格式中的 RPM 文件 (安装包) 中提取子文件

内容二:rpm2cpio 命令和 cpio 命令的格式

# rpm2cpio <RPM file (installation package)> | cpio -idv <absolute path of the file>

内容三:cpio 命令的选项

1) -i 即 copy-in 模式,还原 RPM 文件 (安装包) 里的子文件
2) -d 在还原的过程中创建对应的目录
3) -v 显示还原的过程

内容四:rpm2cpio 命令的案例 (安装 RPM 文件 (安装包))

4.1 拷贝要安装的 RPM 文件 (安装包) 到当前目录

(步骤略)

4.2 创建用于提取 RPM 文件 (软件包) 的目录

# mkdir bash

(补充:这里以创建 bash 目录为例)

4.3 进入用于提取 RPM 文件 (软件包) 的目录

# cd bash

(补充:这里以进入 bash 目录为例)

4.4 提取 RPM 文件 (安装包) 里的子文件

# rpm2cpio ../bash-4.3-83.23.1.x86_64.rpm | cpio -ivd

(补充:这里以提取 bash-4.3-83.23.1.x86_64.rpm RPM 文件 (安装包) 为例)

4.5 显示提取 RPM 文件 (安装包) 子文件后的目录

# ls
bin etc usr

4.6 在当前目录将提取的子文件拷贝到 /bin 目录

# cp -rpv bin/* /bin
'bin/bash' -> '/bin/bash'
'bin/sh' -> '/bin/sh'

[步骤] auditd 日志时间转换成可读格式以后再显示

方法一:通过创建额外的脚本实现 adutitd 日志时间格式的转换

1.1 创建用于 auditd 转换日志时间格式的脚本

# vim time_format_conversion.pl

创建以下内容:

s/(1\d{9})/localtime($1)/e

(补充:这里以创建名为 time_format_conversion.pl 的用于转换 auditd 日志时间格式的脚本为例)

1.2 转换 auditd 日志时间格式

# cat /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者:

# less /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者:

# more /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者:

# head /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者:

# tail /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者:

# tail -f /var/log/audit/audit.log | perl -p time_format_conversion.pl

(补充:这里以使用名为 time_format_conversion.pl 的用于转换 auditd 日志时间格式的脚本为例)

方法二:使用 /usr/sbin/ausearch 命令实现 adutitd 日志时间格式的转换

# /usr/sbin/ausearch --start $(date +\%m/\%d/\%Y -d "-1 month") -i --input-logs | egrep "/sftp*[0-9a-zA-Z].*txt.*nametype=" | grep -v Log.txt | awk '{print $2,$3,$6}' | uniq

(补充:这里以显示在 /sftp 目录下以 txt 结尾的文件的 auditd 日志为例)