linux 巡检脚本优化核心是精简逻辑、分级采集、合并 io、缓存静态项、异步并行及结构化输出:高频项每 5 分钟轻量采集,中频项每 30 分钟避 io,低频项每日降优先级执行;用 awk/sed 解析多行、bash 内置替代外部命令、直读 /proc 文件;缓存 24 小时内静态信息;网络检测并行化;结果以 [ok]/[warn]/[crit] 标记并附建议。
Linux 巡检脚本优化的核心在于减少冗余操作、避免重复采集、合理控制并发与资源消耗,同时保证关键指标不遗漏。效率提升不靠堆命令,而在于逻辑精简和执行路径优化。
精简采集项,按需分级执行
并非所有指标都需要每分钟采集。应将巡检项分为三类:
- 高频必查项 :CPU 使用率、内存剩余、根分区使用率、关键进程状态(如 sshd、crond)——每 5 分钟执行一次,用
top -bn1、df -h /等轻量命令 - 中频核查项 :网络连接数、inode 使用率、日志轮转状态——每 30 分钟执行,避免频繁读取
/proc/net/或遍历大日志目录 - 低频深度项 :SUID 文件扫描、异常定时任务、内核模块加载情况——每日凌晨执行,用
find / -perm -4000等耗时命令前加ionice -c3降优先级
合并 IO 与系统调用,减少 fork 开销
传统脚本常对每个指标单独调用命令,导致大量进程创建。优化方式包括:
- 用
awk或sed一次性解析多行输出,例如用ps aux --sort=-%cpu | head -6 | awk '{print $1,$2,$3,$11}'替代多次ps+grep+awk - 用
bash内置命令替代外部工具:判断文件存在用[[-f /var/log/messages]]而非ls /var/log/messages &>/dev/null - 对
/proc下数据,优先读取单个文件(如/proc/loadavg)而非启动uptime等封装命令
异步采集与结果缓存
对变化缓慢的指标(如内核版本、主机名、硬件信息),无需每次重新获取:
- 首次运行时写入临时缓存文件(如
/tmp/inspect_cache),带时间戳和校验字段 - 后续执行前检查缓存是否在 24 小时内有效,有效则直接读取;否则更新并覆盖
- 网络类指标(如 DNS 连通性、NTP 同步状态)可并行检测:
ping -c1 8.8.8.8 &和ntpdate -q 10.0.0.1 &后接wait统一收尾
输出结构化,便于快速定位问题
避免大段文本日志,改用带状态标记的紧凑格式:
- 每行以 [OK]、[WARN]、[CRIT] 开头,后接模块名和简明结论
- 关键数值右对齐或加粗显示,例如:
[WARN] Disk /dev/sda1: 92% used (42G/46G) - 错误项自动附加建议动作,如
[CRIT] NTP not synced → run 'systemctl restart chronyd'
