linux查询命令记录 linux操作记录查询

2019-02-01 Linux查看用户/历史命令

1、当前登录用户信息

创新互联专注于泸县企业网站建设,响应式网站开发,商城网站制作。泸县网站建设公司,为泸县等地区提供建站服务。全流程定制网站建设，专业设计，全程项目跟踪，创新互联专业和态度为您提供的服务

who：

用户名、终端类型、登陆日期以及远程主机地址。

who /var/log/wtmp

可以查看自从wtmp文件创建以来的每一次登陆情况

-H：打印每列的标题

users命令： 打印当前登录的用户，从上面可以看到我自己从不同主机同时登录，所以下面显示2次。

2、查看命令历史

每个用户的命令历史记录保存在 ~/.bash_history 文件里，

或者在终端输入： history

要想再执行哪条，使用 !96 重新执行该条命令。

3、last命令查看用户登录历史

此命令会读取 /var/log/wtmp文件；/var/log/btmp可以显示远程登陆信息。

last默认打印所有用户的登陆信息。

如果想打印某个用户的登陆信息，可以使用

last 用户名

一些选项：

（1）-x：显示系统开关机以及执行等级信息

（2）-a：将登陆ip显示在最后一行

（3）-d：将IP地址转换为主机名

（4）-t：查看指定时间的用户登录历史

例如： 查看axing在

axing@ax:~$ last axing -a -t 20190201160000

4、lastlog命令查看所有用户最近一次登录历史

读取/var/log/lastlog文件；用户排列顺序按照/etc/passwd中的顺序

一些选项：

（1） -u：查看某用户的最后一次登录记录

比如： lastlog -u axing

（2） -t：查看最近几天之内的用户登录历史

比如： lastlog -t 1

查看最近1天之内的登陆历史

（3） -b：查看指定天数之前的用户登录历史

例如： lastlog -b 60

查看60天之前的用户登录历史

5、ac命令

根据/var/log/wtmp文件中的登陆和退出时间报告用户连接的时间（小时），默认输出报告总时间

需要安装：

（1）-p：显示每个用户的连接时间

（2）-d：显示每天的连接时间

（3）-y：显示年份，和-d配合使用

linux查看历史命令记录及时间(linux查看历史命令执行时间)

1."linux查看历史命令，为您提供linux查看历史命令图文信息，打开linux客户端。

2.点击连接linux按钮。

3.输入用户名，主机ip地址。

4.输入密码。

5.显示连接成功，就可以进行操作。

6.输入history命令，即可返回命令的历史记录。

Linux用户命令记录

很多情况下我们需要记录用户执行过的命令，不管是root还是其他普通用户，我们可以通过以下方式来记录。

PROMPT_COMMAND会在命令执行前执行。

$(who am i |awk '{print \$2,\$5}') 会输出登录用户用的tty和登录服务器的远程电脑IP或者主机名。

$PWD 是内建变量，显示当前执行命令的工作目录。

history 1 | { read x cmd; echo ${cmd}; 会输出最后一条历史命令中的执行信息。

为了不让用户修改变量，使用 declare -rx 命令定义了只读环境变量。这里要注意使用 readonly 命令也可以定义只读变量，但是用户用env命令看不到，只有用 export PROMPT_COMMAND 命令将变量设置为环境变量后才能看到。

变量加到 /etc/bashrc 是因为用户登录后会加载这里的配置，包括 sudo sudo su sudo su - su root su - root 。如果加到其他文件里则部分命令后就不会加载变量，自行尝试。

修改rsyslog是可以自定义日志输出的文件路径和名字，用 logger -p 这个命令配合使用。

新增logrotate配置则是需要切割日志，防止单个日志文件太大，以及做好切割备份，方便查询。

【一】

在 /etc/profile 最后添加如下行，则日志会直接输出到 messages 日志里。

这种方式：不定义日志格式，直接将日志写到messages日志文件里，和其他日志放一起，但是可以指定日志标签，方便检索。

缺点是（1）会导致日志增大，并且用户提权后因-t标签的存在，导致不会记录提权前的用户。（2）不能自定义日志路径。

【二】

缺点：用户可以删除日志文件。

因为普通用户和root都要往日志文件里写，所以需要给普通用户加一个附加组；并且如果日志文件不存在，普通用户登录后也需要新建，所以普通用户必须有日志文件父目录的写权限。为了能让所有普通用户都可以写，就给Command目录加了SGID权限以及修改目录属组为audit。这样普通用户在这个目录下创建的日志文件的属组会自动继承Command目录的属组，也就是audit。 (umask 002 touch $HISTORY_FILE) 命令则是因为root用户生成的日志文件权限是644，属组没有写权限。所以这里用 启动子shell并修改umask的方式生成日志文件。这样就不会修改root默认的 0022 的umask。

其他审计软件：

免费2个月

当前标题：linux查询命令记录 linux操作记录查询
转载来源：https://www.cdcxhl.com/article30/hicppo.html

成都网站建设公司_创新互联，为您提供自适应网站、域名注册、搜索引擎优化、手机网站建设、网页设计公司、网站改版

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联