我有一个 debian 服务器,我是服务器的管理员。服务器没有正常工作,我想看看最后 3-4 个登录用户执行了哪些命令(由每个登录会话分隔,因为同一个用户多次登录)。有什么办法可以做到这一点吗?我是root用户。
问问题
119 次
2 回答
1
我找到了一篇不错的文章,解释了各种审计工具,包括你想要的,lastcomm. 它是acct包的一部分,所以这样做:
sudo apt-get install acct
输出非常详细,因此您可能需要过滤运行了哪些命令:
$ lastcomm --command wajig apt-get
wajig tshepang pts/7 0.00 secs Tue Oct 8 22:56
wajig tshepang pts/7 0.00 secs Tue Oct 8 22:56
apt-get S root pts/7 0.52 secs Tue Oct 8 22:56
apt-get F root pts/7 0.00 secs Tue Oct 8 22:56
wajig tshepang pts/7 0.00 secs Tue Oct 8 22:47
apt-get S root pts/7 0.45 secs Tue Oct 8 22:47
apt-get F root pts/7 0.00 secs Tue Oct 8 22:47
更多信息,例如字段的含义,可以在该文章中找到。
于 2013-10-08T21:18:27.507 回答
0
这取决于外壳,如果是 bash,您可以尝试(以 root 身份):
cat /home/user_you_are_looking_for/.bash_history
于 2013-10-08T17:18:35.760 回答