分享一个手动收集日志的方法

分享一个手动收集日志的方法

 

第一步：首先要建立一个收集脚本getinfo.sh：

#!/bin/sh

 

export PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

 

cd ~

 

wan_ip=$(ifconfig | awk -F'[ ]+|:' '/inet addr/{if($4!~/^192.168|^172.16|^10|^127|^0/) print $4}')

 

if [ ! -z "$wan_ip" ];then

 

       if [ ! -d "$wan_ip" ];then mkdir "$wan_ip";fi

 

       cd "$wan_ip"

 

       netstat -npl > "$wan_ip"_netstat

       ps aux > "$wan_ip"_ps

       ulimit -a > "$wan_ip"_ulimit

       cat /etc/passwd > "$wan_ip"_passwd

       ifconfig -a > "$wan_ip"_ifconfig

       getenforce > "$wan_ip"_getenforce

       cp /var/log/messages* .

       cp /var/log/secure* .

       cd ~

       tar zcvf /tmp/${wan_ip}.tar.gz "$wan_ip"

fi

 

第二步：建立一个叫ip.txt的文本文档，把IP地址输入方式如下：

第三步：建立一个远程注入收集脚本shouji.sh：

#!/bin/bash

file=ip

for line in $(cat ip)

do

scp -P65535 getinfo.sh [email protected]"$line":/tmp

ssh -p65535 "$line" "chmod 777 /tmp/getinfo.sh"

ssh -p65535 "$line" "/tmp/getinfo.sh"

scp -P65535 [email protected]"$line":/tmp/*.tar.gz /tmp/logfile

echo "复制完成！"

sleep 1

done<$file

 

注意：在跳板机上需要建立与跳板机与各机器之间的信任（权限很大，一定要控制哦）