Linux记录操作日志

history命令可以查看最近1000条命令。
调整history命令的大小：

vi /etc/profile
HISTSIZE=1000  #改为
history日志文件默认是保存在.bash_history文件下。

history命令默认是没有时间的，可以在/etc/bashrc文件下追加以下：

HISTFILESIZE=2000    

HISTSIZE=2000

HISTTIMEFORMAT="%Y/%m/%d  %H:%M:%S:"

export HISTTIMEFORMAT

记录每个用户登录一直到退出操作的命令，保存在/var/log/history目录下：
在/etc/profile文件下追加以下内容：
 第一个脚本：（带时间戳）

USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

HISTDIR=/var/log/history

if [ -z $USER_IP ]

then

USER_IP=`hostname`

fi


if [ ! -d $HISTDIR ]

then

mkdir -p $HISTDIR

chmod 777 $HISTDIR

fi


if [ ! -d $HISTDIR/${LOGNAME} ]

then

mkdir -p $HISTDIR/${LOGNAME}

chmod 300 $HISTDIR/${LOGNAME}

fi


export HISTSIZE=4000

DT=`date +%Y-%m-%d_%H:%M:%S`

export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}_$DT"

export HISTTIMEFORMAT="[%Y-%m-%d %H:%M:%S]"

chmod 600 $HISTDIR/${LOGNAME}/*_* 2>/dev/null

 第二个脚本：（不带时间戳）

#history


USER=`whoami`


USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`


if [ "$USER_IP" = "" ]; then


USER_IP=`hostname`


fi


if [ ! -d /var/log/history ]; then


mkdir /var/log/history


chmod 777 /var/log/history


fi


if [ ! -d /var/log/history/${LOGNAME} ]; then


mkdir /var/log/history/${LOGNAME}


chmod 300 /var/log/history/${LOGNAME}


fi


export HISTSIZE=4096


DT=`date +%F"/%H:%M:%S"`


export HISTFILE="/var/log/history/${LOGNAME}/${USER_IP}_$DT"


chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

 

异常登陆的情况：

who    #查看当前在线的用户

w        #查看当前在线的用户

cat /var/log/secure    #查看可疑登录ip

last -f /var/log/wtmp   #查看登录的ip