linux日志溯源,Linux用户历史行为的追溯方法

1．/var/account/pacct文件(非文本文件，每天1个保留7天轮替时间为每日4：02)

用于查找由于用户操作而引发的系统或应用的故障原因。

linux默认不启动该进程统计程序。但只要系统负荷和系统硬盘空间允许，可以使用该日志文件。

启动进程统计程序的命令：accton /var/account/pacct

停止进程统计程序的命令:  accton

pacct日志文件记录了历史上曾经发生过的所有用户(含系统和应用)的所有操作(程序名【注：内部命令不记录，bash(linux默认的shell)常用的内部命令有：cd，kill等，全部内部命令可由命令man bash得到】，用户名，登录终端，命令运行时间段，日期和时间)，结合last命令输出的终端所在的IP地址，我们就可知道用户在什么时间，从哪里登录，执行了什么命令，命令运行的时间长度。

遗憾的是没有操作命令的参数，因为该程序的只是为进程统计而设。

检查当前的命令(无参数)操作历史：

#lastcomm –f /var/account/pacct (如文件很大可使用登录工具的log来保存)

ftp_get.php       S     sms      __         0.01 secs Fri May 21 15:04

smppxmzd           F    root     __         0.00 secs Fri May 21 15:04

crond             SF    root     __         0.00 secs Fri May 21 15:04

sh                S     sms      __         0.00 secs Fri May 21 15:04

ping              S     sms      __         0.00 secs Fri May 21 15:04

crond             SF    root     __         0.00 secs Fri May 21 15:04

sh                S     sms      __         0.00 secs Fri May 21 15:04

ping              S     sms      __         0.00 secs Fri May 21 15:04

consoletype             root     __         0.00 secs Fri May 21 15:04

cat                     root     __         0.00 secs Fri May 21 15:04

crond             SF    root     __         0.00 secs Fri May 21 15:04

sh                S     sms      __         0.00 secs Fri May 21 15:04

ping              S     sms      __         0.00 secs Fri May 21 15:04

sgipd              F    root     __         0.00 secs Fri May 21 15:04

consoletype             root     __         0.00 secs Fri May 21 15:04

mv                    root      pts/4      0.00 secs Fri May 21 15:03

ls                S     root     pts/4      0.00 secs Fri May 21 15:03

[root@sms log]#

案例分析：

蓝色部分就是在日期时间May 21 15:03，用户root从终端 pts/4 登录上来，执行了命令“ls”和“mv”。

注意：该“mv”操作如果移走了系统或应用正在使用的目录或文件，则系统就会告警。而维护人员可根据此文件搜索到“mv”的操作者(lastcomm –f /var/account/pacct | grep mv)，从而得知移走的内容，快速进行恢复。

检查非当前的命令(无参数)操作历史：

(1) 解压某日的pacct.N.gz

gzip -d /var/account/pacct.N.gz

(2) 查看某日的pacct.N

lastcomm –f /var/account/pacct.N

2．/var/log/wtmp(非文本文件，每月1个，保留2月，轮替时间为每月1日)

用于查找用户登录位置和时间及时间段的历史。

该文件记录了所有曾经登录过的用户名，登录源及登录时间段。系统默认保留2个月的记录：当月为wtmp，上月为wtmp.1。我们可使用该文件再配合其他命令来查询人为操作引发的系统故障。该日志文件最大的好处是有登录源信息(IP地址)。

(1) 查询当月用户的登录情况：

[root@ftpnode2 log]# last

root   pts/3        172.16.80.140    Fri May 21 10:34   still logged in

ticketer pts/1        192.168.71.145   Fri May 21 10:25   still logged in

。

。

ticketer pts/1        172.16.80.28     Fri May 21 09:00 - 09:09  (00:09)

ticketer pts/3        192.168.71.145   Fri May  7 10:05 - 14:00 (3+03:55)

ticketer pts/4        192.168.71.145   Fri May  7 09:34 - 11:46  (02:11)

ticketer pts/3        172.16.80.28     Fri May  7 09:10 - 09:47  (00:37)

wtmp begins Wed May  5 09:34:25 2010

[root@ftpnode2 log]#

注：对于“still logged in”的用户，可使用命令w来查询该用户当前正在执行的命令；对于已离线的用户，只能根据命令history来查询该用户曾经执行过的命令，但无时间戳。

(2) 查询上月用户登录情况：

[root@ftpnode2 log]#last –f /var/log/wtmp.1

ticketer pts/7        192.168.71.145   Fri Apr 30 10:30 - 13:23  (02:52)

ticketer pts/6        192.168.71.145   Fri Apr 30 10:27 - 10:49  (00:21)

ticketer pts/5        192.168.71.145   Fri Apr 30 10:04 - 12:26  (02:22)

。

。

ticketer pts/1        172.16.80.28     Thu Apr  8 09:24 - 11:36  (02:11)

ticketer pts/1        172.16.80.28     Wed Apr  7 08:57 - 09:01  (00:04)

ticketer pts/1        172.16.80.28     Tue Apr  6 13:14 - 15:26  (02:11)

ticketer pts/1        192.168.71.145   Tue Apr  6 08:39 - 11:01  (02:22)

ticketer pts/1        172.16.80.28     Fri Apr  2 08:53 - 11:05  (02:11)

ticketer pts/1        172.16.80.28     Thu Apr  1 10:25 - 10:30  (00:04)

wtmp.1 begins Thu Apr  1 10:25:34 2010

[root@ftpnode2 log]#

3．/home/user_name/.bash_history(文本文件；root用户特殊：/root/.bash_history)

用于查询用户曾经执行过的完整命令，但没有时间点。

这条命令最大的好处是可以看到带有参数的完整命令，这可以弥补/var/account/pacct文件的缺憾。

切换到该用户，然后使用history命令就可列出用户曾经的操作：

su root

[root@nbu_jc_media log]#history

985  telnet 172.16.80.21

986  ssh 172.16.80.78

987  more /var/log/spooler

988  df -k

989  telnet 172.16.80.21

990  ssh 172.16.80.78

991  more /var/log/spooler

992  df -k

993  telnet 172.16.80.21

994  ssh 172.16.80.78

995  more /var/log/spooler

996  df -k

997  telnet 172.16.80.21

998  ssh 172.16.80.78

999  w

1000  history

[root@nbu_jc_media ~]#

注：最大序号的记录为最新的记录，linux默认保存1000条记录(/etc/profile)。

4．/var/run/utmp(非文本文件，)

用于查询在线用户正在执行的命令(完整命令)。

该文件只记录当前在线用户的当前操作命令。

[root@nbu_jc_media log]# w

16:05:30 up 40 days,  3:17,  4 users,  load average: 0.07, 0.21, 0.11

USER     TTY      FROM      LOGIN@   IDLE   JCPU   PCPU    WHAT

root    pts/3    192.168.71.145   14:35      0.00s    0.02s   0.00s     cd /etc

root     :0       -                28Apr10 ?xdm?   6:57m  0.25s /usr/bin/gnome-session

root     pts/1    :0.0             10May10 10days  0.03s  0.01s ssh 172.16.80.26

root     pts/2    :0.0             10May10 10days  0.03s  0.03s bash

[root@nbu_jc_media log]#

案例分析：

蓝色行显示：当前用户root，在时间14:35从192.168.71.145登录进来，当前执行的操作是cd /etc命令。

5．/var/log/lastlog(非文本文件)

用于查询用户最后一次的登录记录。

该文件只记录用户最后一次的登录情况。

[root@ftpnode2 log]# lastlog

Username         Port     From             Latest

root             pts/3    172.16.80.140    Fri May 21 10:34:38 +0800 2010

bin                                        **Never logged in**

daemon                                     **Never logged in**

adm                                        **Never logged in**

lp                                         **Never logged in**

sync                                       **Never logged in**

shutdown                                   **Never logged in**

halt                                       **Never logged in**

mail                                       **Never logged in**

news                                       **Never logged in**

uucp                                       **Never logged in**

ticketer         pts/1    192.168.71.145   Fri May 21 10:25:10 +0800 2010

[root@ftpnode2 log]#

综合使用上述5种方法中的几种，我们就能达到查询用户详细的操作历史记录(不超过7天)和登录记录(不超过2个月)的基本要求。而这些记录将有助于我们找到系统和应用故障的发生源。