2019-02-01 Linux查看用戶/歷史命令

1、當(dāng)前登錄用戶信息

創(chuàng)新互聯(lián)專注于瀘縣企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站開發(fā),商城網(wǎng)站制作。瀘縣網(wǎng)站建設(shè)公司,為瀘縣等地區(qū)提供建站服務(wù)。全流程定制網(wǎng)站建設(shè)，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

who：

用戶名、終端類型、登陸日期以及遠(yuǎn)程主機(jī)地址。

who /var/log/wtmp

可以查看自從wtmp文件創(chuàng)建以來的每一次登陸情況

-H：打印每列的標(biāo)題

users命令： 打印當(dāng)前登錄的用戶，從上面可以看到我自己從不同主機(jī)同時(shí)登錄，所以下面顯示2次。

2、查看命令歷史

每個用戶的命令歷史記錄保存在 ~/.bash_history 文件里，

或者在終端輸入： history

要想再執(zhí)行哪條，使用 !96 重新執(zhí)行該條命令。

3、last命令查看用戶登錄歷史

此命令會讀取 /var/log/wtmp文件；/var/log/btmp可以顯示遠(yuǎn)程登陸信息。

last默認(rèn)打印所有用戶的登陸信息。

如果想打印某個用戶的登陸信息，可以使用

last 用戶名

一些選項(xiàng)：

（1）-x：顯示系統(tǒng)開關(guān)機(jī)以及執(zhí)行等級信息

（2）-a：將登陸ip顯示在最后一行

（3）-d：將IP地址轉(zhuǎn)換為主機(jī)名

（4）-t：查看指定時(shí)間的用戶登錄歷史

例如： 查看axing在

axing@ax:~$ last axing -a -t 20190201160000

4、lastlog命令查看所有用戶最近一次登錄歷史

讀取/var/log/lastlog文件；用戶排列順序按照/etc/passwd中的順序

一些選項(xiàng)：

（1） -u：查看某用戶的最后一次登錄記錄

比如： lastlog -u axing

（2） -t：查看最近幾天之內(nèi)的用戶登錄歷史

比如： lastlog -t 1

查看最近1天之內(nèi)的登陸歷史

（3） -b：查看指定天數(shù)之前的用戶登錄歷史

例如： lastlog -b 60

查看60天之前的用戶登錄歷史

5、ac命令

根據(jù)/var/log/wtmp文件中的登陸和退出時(shí)間報(bào)告用戶連接的時(shí)間（小時(shí)），默認(rèn)輸出報(bào)告總時(shí)間

需要安裝：

（1）-p：顯示每個用戶的連接時(shí)間

（2）-d：顯示每天的連接時(shí)間

（3）-y：顯示年份，和-d配合使用

linux查看歷史命令記錄及時(shí)間(linux查看歷史命令執(zhí)行時(shí)間)

1."linux查看歷史命令，為您提供linux查看歷史命令圖文信息，打開linux客戶端。

2.點(diǎn)擊連接linux按鈕。

3.輸入用戶名，主機(jī)ip地址。

4.輸入密碼。

5.顯示連接成功，就可以進(jìn)行操作。

6.輸入history命令，即可返回命令的歷史記錄。

Linux用戶命令記錄

很多情況下我們需要記錄用戶執(zhí)行過的命令，不管是root還是其他普通用戶，我們可以通過以下方式來記錄。

PROMPT_COMMAND會在命令執(zhí)行前執(zhí)行。

$(who am i |awk '{print \$2,\$5}') 會輸出登錄用戶用的tty和登錄服務(wù)器的遠(yuǎn)程電腦IP或者主機(jī)名。

$PWD 是內(nèi)建變量，顯示當(dāng)前執(zhí)行命令的工作目錄。

history 1 | { read x cmd; echo ${cmd}; 會輸出最后一條歷史命令中的執(zhí)行信息。

為了不讓用戶修改變量，使用 declare -rx 命令定義了只讀環(huán)境變量。這里要注意使用 readonly 命令也可以定義只讀變量，但是用戶用env命令看不到，只有用 export PROMPT_COMMAND 命令將變量設(shè)置為環(huán)境變量后才能看到。

變量加到 /etc/bashrc 是因?yàn)橛脩舻卿浐髸虞d這里的配置，包括 sudo sudo su sudo su - su root su - root 。如果加到其他文件里則部分命令后就不會加載變量，自行嘗試。

修改rsyslog是可以自定義日志輸出的文件路徑和名字，用 logger -p 這個命令配合使用。

新增logrotate配置則是需要切割日志，防止單個日志文件太大，以及做好切割備份，方便查詢。

【一】

在 /etc/profile 最后添加如下行，則日志會直接輸出到 messages 日志里。

這種方式：不定義日志格式，直接將日志寫到messages日志文件里，和其他日志放一起，但是可以指定日志標(biāo)簽，方便檢索。

缺點(diǎn)是（1）會導(dǎo)致日志增大，并且用戶提權(quán)后因-t標(biāo)簽的存在，導(dǎo)致不會記錄提權(quán)前的用戶。（2）不能自定義日志路徑。

【二】

缺點(diǎn)：用戶可以刪除日志文件。

因?yàn)槠胀ㄓ脩艉蛂oot都要往日志文件里寫，所以需要給普通用戶加一個附加組；并且如果日志文件不存在，普通用戶登錄后也需要新建，所以普通用戶必須有日志文件父目錄的寫權(quán)限。為了能讓所有普通用戶都可以寫，就給Command目錄加了SGID權(quán)限以及修改目錄屬組為audit。這樣普通用戶在這個目錄下創(chuàng)建的日志文件的屬組會自動繼承Command目錄的屬組，也就是audit。 (umask 002 touch $HISTORY_FILE) 命令則是因?yàn)閞oot用戶生成的日志文件權(quán)限是644，屬組沒有寫權(quán)限。所以這里用 啟動子shell并修改umask的方式生成日志文件。這樣就不會修改root默認(rèn)的 0022 的umask。

其他審計(jì)軟件：

免費(fèi)2個月

當(dāng)前標(biāo)題：linux查詢命令記錄 linux操作記錄查詢
轉(zhuǎn)載來源：http://www.rwnh.cn/article30/hicppo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應(yīng)網(wǎng)站、域名注冊、搜索引擎優(yōu)化、手機(jī)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)公司、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)