Linux记录用户操作记录

最新推荐文章于 2023-08-08 18:17:25 发布
最新推荐文章于 2023-08-08 18:17:25 发布
阅读量156 收藏
点赞数
分类专栏: LINUX、UNIX、网络通讯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wezly/article/details/84221082
版权

如下方法在centos5.x系统中通过.

在/etc/profile文件里加入如下语句:
1)使用script记录UID大于500的用户的所有操作,类似屏幕截图 

    1. if [ $UID -gt 500 ]
    2. then
    3.     exec /usr/bin/script -t 2>/tmp/$USER-$UID-$(date +%Y%m%d%H%M).date -a -f -q /tmp/$USER-$UID-$(date +%Y%m%d%H%M).log
    4. fi
    script 可以把当前用户的所有键盘操作、屏幕输出以及错误信息等等保存到一个文件中;
    使用exec可以防止用户自行退出script,当输入exit退出时,会连当前的终端一起关掉;exec还有执行完当前命令就退出当前shell的特性,也就是说,要把exec命令放在profile最后一行执行,因为exec后面的命令都执行不到。
    为什么执行了上边的命令没有退出当前shell呢,因为script命令一直在持续运行,也就是说在持续记录用户的操作,并不是说执行一次马上就结束了。
    -a  用append的形式在文件中追加,若不适用此参数,同名的记录文件会被覆盖,而且没有提示;
    -f Flush output after each write;
    -q be quiet
    -t 生成时间文件,有了这个文件,可以使用  scriptreplay 命令回放;
    如: scriptreplay username-500-201111262310.date username-500-20111126231.log
       要注意“时间文件”和“记录文件”的顺序,不要颠倒了;
     要保证该文件当前登录用户可写,不然无法正常记录!
    因为文件是实时更新的,如果tail、more自己的记录文件,会形成很有意思的无限循环。

2)使用环境变量记录用户操作
在/etc/profile和/etc/bashrc中添加以下命令,并 source 一次
  1. export PROMPT_COMMAND='{ date "+[ %Y%m%d %H:%M:%S `whoami` ] `history 1 | { read x cmd; echo "$cmd"; }`"; } >> /var/log/command.log'
这条命令会把登录用户所有按回车输入的内容都记录到command.log文件中去,即使是敲错的命令也一样;
要保证command.log文件所有用户都可写,使用chattr命令防止用户自行修改记录,
  1. chattr +a /var/log/command.log
再配合logrotate定期进行log轮替。
  1. /var/log/command.log{

  3.  prerotate
  4.        /usr/bin/chattr -a /var/log/command.log
  5.  endscript
  6.     compress
  7.     delaycompress
  8.     notifempty
  9.     rotate 1000
  10.     size 10M
  11.  postrotate
  12.         /usr/bin/chattr +a /var/log/command.log
  13.  endscript
  14. }
解释一下PROMPT_COMMAND环境变量,这个变量会优先于 PS1 变量执行,屏幕上 显示完PROMPT_COMMAND定义的内容后,才会显示 PS1 提示符的内容;也就是说,按回车后,先输出 PROMPT_COMMAND 的内容到屏幕上,然后才输出 PS1 ;上边给出的命令因为做了重定向,所以不会输出到屏幕上,而是command.log文件中。

注:在 /etc/bashrc 文件中有对 PROMPT_COMMAND 变量进行赋值, 会把/etc/profile中添加的PROMPT_COMMAND 变量值覆盖掉(为什么会覆盖掉请参考我以前的一篇文章 《bash中profile等配置文件执行顺序”》), 所以要在 /etc/bashrc 中的最后也添加以上命令。因为在  ~/.bashrc 中有一个判断并调用/etc/bashrc的内容,为了保证肯定能够执行到这个命令,要在/etc/profile和/etc/bashrc中都添加以上命令。

3)其实可以根据自己的需要输出不同的内容,比如下边的命令,记录了更加详细的信息。自己编写时,需要注意命令中的单双引号嵌套,很容易因为引号的配对问题出现命令不能通过的问题。
  1. export PROMPT_COMMAND='{ date +"%Y%m%d %H:%M:%S [$(who am i | tr -s [[:blank:]] | cut -d" " -f1,2,5)-> ${USER}] $( history 1 | { read num cmd; echo ${cmd}; })" ; } >> /var/log/command.log'

 

wezly
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux添加用户操作记录审计.txt
06-17
Linux添加用户操作记录审计
linux记录登录用户的详细操作
03-30
本文档使用了两种方法来记录liunx登录用户的详细操作,综合了使用scripts 以及脚本的方法,很实用,已在实际环境中使用!
Linux记录所有用户的登录和操作日志
evilstar2015的专栏
05-30 5266
在很多大厂中,一般会通过第三方的4A系统登录企业的服务器,登陆者所有的操作都会由4A系统采集、汇总、记录,以达到安全审计的目的。但是很多小公司并没有采购4A系统的预算,那么为了保证操作的安全性和可追溯性,一般我们可以用history命令来查看用户操作记录,但是这个命令不能记录是哪个用户登录操作的,也不能记录详细的操作时间,且不完整。所以误操作而造成重要的数据丢失,就很难查到是谁操作的。今天就来介绍一种非常简洁的方法,通过编写脚本来追溯每个用户操作记录
Linux命令学习---记录Linux命令操作
最新发布
weixin_51900414的博客
08-08 680
1.ctrl+c强制退出2.ctrl + d 退出或登出不能用于退出vi/vim3.history:历史命令搜索4.ctrl + r,输入内容去匹配历史命令如果搜索到的内容是你需要的,那么:回车键可以直接执行键盘左右键,可以得到此命令(不执行)5.光标移动快捷键6.清屏清空终端内容7.软件安装软件安装,CentOS系统和Ubuntu是使用不同的包管理器。CentOS使用yum管理器,Ubuntu使用apt管理器,但是两者都需要root权限1)apt命令:Ubuntu其中,-y选项表示。
Linux相关操作记录
地球太危险了吧
05-23 586
目录 一、查看磁盘空间和分区空间大小 1、查看磁盘空间:fdisk -l 2、查看分区空间的大小:df -h 二、linux中ctrl+z和ctrl+c的区别 三、linux查看内核版本及系统版本号 1、查看内核版本号:uname -r 2、查看系统版本号:sudo lsb_release -a 四、linux下统计项目代码总行数 一、查看磁盘空间和分区空间大小 1、查看...
linux系统下自动记录用户操作
dxwd的专栏
01-19 1329
在对linux系统进行操作的时候经常多开好几个ssh窗口,执行很多命令,如果操作内容很多,时间一久就会忘记,很有必要把每一次的操作记录保存下来用于日后查看;还有一种情况就是多人协作的场景,经常会出现不同人在同一台服务器上同时操作操作的内容互相影响,这时也非常需要有一个审计日志,可以很方便的查看哪个用户做了什么操作,执行了什么命令。以下是记录 bash 命令日志的参考方法,借此可以实现Linux系统上记录用户操作的审计日志。
history查看历史操作记录,并显示操作时间
Silence Ray的博客
03-23 2万+
在查看历史的操作记录有两种方式 1.在用户的目录下的.bash_history文件中 [root@node1 ~]# vi ~/.bash_history reboot vi /etc/sysconfig/network-scripts/ifcfg-eth0 setup service netwok restart service network restart ping 192.168.11
Linux历史操作记录审计.docx
06-17
Linux系统中,审计历史操作记录对于系统的安全性至关重要,特别是在安全应急响应中。通常,`history`命令可以用来查看用户的命令历史,但它默认只显示命令而没有执行时间或执行用户信息,这使得审计分析变得困难...
linux记录用户登录操作日志.zip_linux查看登录用户
01-07
linux记录用户登录操作日志.日志分析 每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)
linux服务器清空MySQL的history历史记录 删除mysql操作记录
09-10
它会记录用户的命令历史,以便于之后使用`history`命令回顾。如果想要不再保存历史记录或者减少保存的数量,你需要编辑`/etc/profile`文件。在这个文件中,找到`HISTSIZE`变量并将其值改为0或你希望保留的命令数量。...
linux指令记录
qq_42609346的博客
09-28 331
一些简单的linux指令记录
linux 记录用户操作日志
channel)海峡的博客
12-29 4614
1、背景描述 最近有需求,客户有服务器被登录,不知道谁登录的,操作了什么命令,history linux通常会用history来记录,但是history有个缺陷就是默认是1000行,当然你也可以vim /etc/profile将1000修改成1000000行,但是这只是比较笼统的做法,且history可以清空,看不到详细的用户来源已经操作记录,比如来源ip地址、操作时间、操作用户等。 测试系统:CentOS Linux release 7.4.1708 (Core) (Ubuntu没测试过,请自己照葫
linux系统中记录操作命令
Jepson的博客
07-08 2911
需求:linux系统中,将操作指令记录在日志文件中 1 .在**/etc/profile**中添加以下内容 mkdir -m 777 -p /.cmdlog 2>&- export CMDLOG_FILE="/.cmdlog/cmdlog.$(date +%F)" [ -f $CMDLOG_FILE -a -s $CMDLOG_FILE ] || install -m 777 /de...
linux用户下查看当前用户或者历史用户操作记录
firstcode666的博客
02-25 5924
一、查看及管理当前登录用户 1、使用w命令查看登录用户正在使用的进程信息,w命令用于显示已经登录系统的用户的名称,以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括: 用户名称 用户的机器名称或tty号 远程主机地址 用户登录系统的时间 空闲时间(作用不大) 附加到tty(终端)的进程所用的时间(JCPU时间) 当前进程所用时间(PCPU时间) 用户当前正在使用的命令 $ w 23:04:27 up 29 days, 7:51,...
@linux查看用户操作记录
ଲ一笑奈@何
04-18 1706
1.使用history命令 history如下所示: 存储的日志文件 ~/.bash_History [root@server ~]# history | head -20 1 passwd root 2 crontab -l 3 crontab -e 4 sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config 5 setenforce 0 6 getenforc
Linux 查看用户操作记录
gaobudong1234的博客
02-06 2万+
使用history命令,查看自己的操作记录,但如果你是root用户,如何查看其它用户操作记录呢?   其实history命令只是把当前用户目录下的~/.bash_History文件内容列出来而已。   一般而言,history展示的操作记录是没有时间的,可以在/etc/bashrc文件中加入下列代码:   HISTFILESIZE=2000 HISTSIZE=2000 HISTT
Linux查看用户登陆历史记录(last命令的使用)
热门推荐
飘过的春风
11-13 3万+
查看某用户操作历史       cat  /home/username/.bash_history     使用root登陆使用last -x可查看用户登陆历史。   last 命令:   功能说明:列出目前与过去登入系统的用户相关信息。   语 法:last [-adRx][-f ][-n ][帐号名称…][终端机编号…]   补充说明:单独执行last指令,它会读取位于/var...
linux记录所有用户操作命令
何超杰的博客
12-29 3021
1.在/etc/profile加入如下脚本 PS1="`whoami`@`hostname`:"'[$PWD]' history USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d ...
Linux下查看历史操作记录
weixin_52428496的博客
01-04 1万+
Linux下查看历史操作记录 2012-04-17 10:23:05 我来说两句 收藏 我要投稿 last命令可以用来查看用户的登陆记录。 history命令可以查看命令的执行历史。 www.2cto.com 常用日志文件如下:     access-log   纪录HTTP/web的传输     acct/pacct   纪录用户命令     aculog     纪录MODEM的活动     btmp      纪录失败的纪录     lastlog     纪录最近几次成功
linux查看操作记录
06-28
### 回答1: Linux可以通过以下几种方式查看操作记录: 1. 使用命令history查看当前用户的历史命令记录。 2. 使用命令last查看系统登录和注销记录。 3. 使用命令lastlog查看系统所有用户的最近登录记录。 4. 使用命令w查看当前登录用户信息和活动情况。 5. 使用命令who查看当前登录系统的用户信息。 6. 使用命令ps查看系统进程信息,包括进程的启动时间和运行时间。 7. 使用命令top查看系统资源使用情况,包括CPU、内存、磁盘等。 以上是Linux查看操作记录的几种常用方式,可以根据需要选择相应的命令进行查看。 ### 回答2: 在Linux操作系统中,查看操作记录可以通过多种方式实现,这里主要介绍以下几种方法: 1. last 命令 last 命令可以查看最近登录者的记录,包括登录时间、注销时间、登录IP等信息。命令格式为: last 输出结果如下示例: root pts/0 192.168.1.1 Mon Sep 20 10:23 still logged in root pts/0 192.168.1.2 Fri Sep 17 16:17 - 16:35 (00:18) root tty1 Fri Sep 17 15:30 - 16:37 (01:07) reboot system boot 5.10.0-8-amd64 Fri Sep 17 15:29 still running 2. lastlog 命令 lastlog 命令可以查看所有用户上一次登录的时间和登录IP,命令格式为: lastlog 输出结果如下示例: Username Port From Latest root **Never logged in** daemon **Never logged in** bin **Never logged in** sys **Never logged in** sync **Never logged in** games **Never logged in** man **Never logged in** lp **Never logged in** mail **Never logged in** news **Never logged in** 3. history 命令 history 命令可以查看当前用户的所有命令执行记录,命令格式为: history 输出结果如下示例: 1. ls 2. cd / 3. vi test.txt 4. kill -9 12345 5. shutdown -h now 4. 查看日志文件 Linux系统记录所有系统操作和各应用程序的日志,可以通过查看日志文件的方式来查看操作记录。日志文件一般存储在 /var/log 目录下,常见的日志文件有: /var/log/messages:所有系统消息,包括系统启动、关闭、应用程序日志等。 /var/log/auth.log:所有认证(登录认证、权限认证)相关的消息。 /var/log/syslog:通用的系统日志,记录操作系统级别的信息。 /var/log/secure:包括认证信息和所有与安全相关的记录。 以上是几种常用的查看操作记录的方法,用户可以根据需要选择合适的方式进行操作记录查看。 ### 回答3: Linux系统提供了多种方式来查看操作记录,主要包括以下几种方式: 1. command命令:command命令可以记录历史命令的时间、用户和命令内容等信息,在Linux系统上使用非常广泛。命令如下: ```bash history ``` 这个命令将显示当前用户的历史命令记录,可以使用grep命令按关键字查询相关命令记录。 2. wtmp和btmp日志文件:wtmp和btmp日志文件分别记录用户登录和登出的信息,可以使用命令last和lastb查看。 ```bash last ``` 这个命令将显示所有用户的登录记录,可以使用选项-u和-t来查询特定用户和时间范围内的登录记录。 3. /var/log/auth.log文件:auth.log文件包含了与系统身份验证相关的信息,包括SSH登录和su切换等信息。 ```bash cat /var/log/auth.log | grep "SSH" ``` 这个命令将显示所有SSH登录的记录,可以使用grep命令按关键字查询相关记录。 4. auditd服务:auditd是Linux系统上的一个进程,可以记录所有特定系统调用的操作、文件访问和进程创建等事件,并将其记录到系统的audit日志文件中。 ```bash auditctl -a exit,always -F arch=b64 -S execve ``` 这个命令将启动一个规则,记录所有的execve系统调用,并将相关记录写入audit日志文件中。 以上是几种常用的Linux查看操作记录的方式,选择哪种方式取决于具体的需求。如果需要更详细的操作记录,可以考虑使用日志管理工具或监控软件来实时监控系统的操作行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值