Я имею дело с большим количеством различных машин, таким образом, одно из моего избранного является псевдонимами для каждой машины, к которой я нуждаюсь к часто SSH:
alias claudius="ssh dinomite@claudius"
Также полезно установить пользу .ssh/config
и ключи ssh для создания скачкообразного движения среди машин еще легче.
Другой моих любимых псевдонимов для продвижения каталогов:
alias ..="cd .."
alias ...="cd ../.."
alias ....="cd ../../.."
alias .....="cd ../../../.."
И некоторые для наиболее часто используемых изменений ls
(и опечатки):
alias ll="ls -l"
alias lo="ls -o"alias lh="ls -lh"
alias la="ls -la"
alias sl="ls"
alias l="ls"
alias s="ls"
История может быть очень полезной, но по умолчанию на большинстве дистрибутивов Ваша история сдувается каждым выходом оболочки, и это не содержит много для начала. Мне нравится иметь 10 000 строк истории:
export HISTFILESIZE=20000
export HISTSIZE=10000
shopt -s histappend
# Combine multiline commands into one in historty
shopt -s cmdhist
# Ignore duplicates, ls without options and builtin commands
HISTCONTROL=ignoredups
export HISTIGNORE="&:ls:[bf]g:exit"
Тот путь, если я знаю, что сделал что-то прежде, но не могу помнить специфические особенности, быстрое history | grep foo
поможет подталкивать мою память.
Я часто передавал по каналу произведенный через awk
для получения определенного столбца вывода, как в df -h | awk '{print $2}'
найти размер каждого из моих дисков. Для создания этого легче я создал функцию fawk
в моем .bashrc:
function fawk {
first="awk '{print "
last="}'"
cmd="${first}\$${1}${last}"
eval $cmd
}
Я могу теперь работать df -h|fawk 2
который сохраняет хороший бит ввода.
Windows:
На Linux:
Обычно Вы хотите контролировать:
Они будут самыми важными журналами для контроля, и большая часть сообщения с помощью splunk.
Система журнала только так же хороша как источник времени. Используя NTP и удостоверяющийся все Ваши серверы установлены на тот же часовой пояс, сделает Ваше задание в десять раз легче. Мне нравится устанавливать мои часы BIOS на UTC и затем устанавливать ОС на зону местного времени.
Править: Это - теперь Wiki. Добавьте свой собственный совет!
Это действительно зависит от того, что Вы пытаетесь обнаружить.
Если Вы ищете доступ ресурса затем (например, файлы платежной ведомости, документации по продукту):
Если Вы ищете внешний доступ затем:
Снова, сначала определите то, что Вы хотите обнаружить и затем пойти для журналов, которые могут показать Вам кто, какой и где к информации/ресурсу получили доступ. Затем пойдите для следующего. На основе опыта, если Вы просто хотите все, которое Вы перестанете работать в получении обнаружения, в котором Вы нуждаетесь для чего-либо.
На Linux Вы могли бы также отправить все с системного журнала на центральный коллектор и проанализировать для шаблонов. Вы никогда не знаете то, в чем Вы будете нуждаться заранее, и можно пропустить некоторую информацию, если Вы только включаете определенные сервисы. В то время как существуют общие руководящие принципы, относительно которых средства конкретный тип приложения должен регистрироваться к, нет никаких жестких правил.
Если приложение интереса пишет свои собственные файлы журнала, я обычно поглощаю файлы журнала в демону системного журнала также и передают им центральному коллектору.
Это полезно не только для целей безопасности, но также и для нахождения ошибок конфигурации, а также аппаратных и программных отказов.