本文介绍了在Linux系统中如何查看和记录用户的登录日志、操作历史,包括使用`last`、`who`、`users`、`lastlog`、`ac`等命令来检查最近登录IP、用户信息,以及通过`/var/log/wtmp`和`/var/log/secure`日志文件分析可疑活动。此外,还提供了在`/etc/profile`中设置脚本来跟踪所有登录用户的操作历史的方法。
目录
零、查看最近登录ip 以及历史命令执行日期
[root@izbp~]# last
[root@izbp~]# last -10 //表示只显示10行
[root@izbp~]# last -n 5 -a -i //显示5行且主机IP显示为最后一列
查看当前登录用户信息
1、who命令:
who缺省输出包括用户名、终端类型、登陆日期以及远程主机。
who /var/log/wtmp
可以查看自从wtmp文件创建以来的每一次登陆情况
(1)-b:查看系统最近一次启动时间
(2)-H:打印每列的标题
2、users命令:
打印当前登录的用户,每个显示的用户名对应一个登陆会话。
3、last命令
查看用户登录历史
此命令会读取 /var/log/wtmp文件;/var/log/btmp可以显示远程登陆信息。
last默认打印所有用户的登陆信息。
如果想打印某个用户的登陆信息,可以使用
last 用户名
选项:
(1)-x:显示系统开关机以及执行等级信息
(2)-a:将登陆ip显示在最后一行
(3)-f :读取特定文件,可以选择 -f /var/log/btmp文件
(4)-d:
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
