linux巡检脚本优化核心是精简逻辑、分级采集、合并io、缓存静态项、异步并行及结构化输出:高频项每5分钟轻量采集,中频项每30分钟避io,低频项每日降优先级执行;用awk/sed解析多行、bash内置替代外部命令、直读/proc文件;缓存24小时内静态信息;网络检测并行化;结果以[ok]/[warn]/[crit]标记并附建议。
Linux巡检脚本优化的核心在于减少冗余操作、避免重复采集、合理控制并发与资源消耗,同时保证关键指标不遗漏。效率提升不靠堆命令,而在于逻辑精简和执行路径优化。
精简采集项,按需分级执行
并非所有指标都需要每分钟采集。应将巡检项分为三类:
- 高频必查项:CPU使用率、内存剩余、根分区使用率、关键进程状态(如sshd、crond)——每5分钟执行一次,用
top -bn1、df -h /等轻量命令 - 中频核查项:网络连接数、inode使用率、日志轮转状态——每30分钟执行,避免频繁读取
/proc/net/或遍历大日志目录 - 低频深度项:SUID文件扫描、异常定时任务、内核模块加载情况——每日凌晨执行,用
find / -perm -4000等耗时命令前加ionice -c3降优先级
合并IO与系统调用,减少fork开销
传统脚本常对每个指标单独调用命令,导致大量进程创建。优化方式包括:
- 用
awk或sed一次性解析多行输出,例如用ps aux --sort=-%cpu | head -6 | awk '{print $1,$2,$3,$11}'替代多次ps+grep+awk - 用
bash内置命令替代外部工具:判断文件存在用[[ -f /var/log/messages ]]而非ls /var/log/messages &>/dev/NULL - 对
/proc下数据,优先读取单个文件(如/proc/loadavg)而非启动uptime等封装命令
异步采集与结果缓存
对变化缓慢的指标(如内核版本、主机名、硬件信息),无需每次重新获取:
- 首次运行时写入临时缓存文件(如
/tmp/inspect_cache),带时间戳和校验字段 - 后续执行前检查缓存是否在24小时内有效,有效则直接读取;否则更新并覆盖
- 网络类指标(如DNS连通性、NTP同步状态)可并行检测:
ping -c1 8.8.8.8 &和ntpdate -q 10.0.0.1 &后接wait统一收尾
输出结构化,便于快速定位问题
避免大段文本日志,改用带状态标记的紧凑格式:
- 每行以[OK]、[WARN]、[CRIT]开头,后接模块名和简明结论
- 关键数值右对齐或加粗显示,例如:
[WARN] Disk /dev/sda1: 92% used (42G/46G) - 错误项自动附加建议动作,如
[CRIT] NTP not synced → run 'systemctl restart chronyd'