查看用戶登錄時間以及命令歷史
文章目錄:
你有沒有遇到這種情況,就是有一臺服務器,上面有多個人登陸使用,但是突然右某一天,服務器突然出現了問題,然後你沒有操作,但是此時你卻成爲了懷疑的對象,搞出問題的人又不敢勇敢站出來承擔責任,這都不是最關鍵的,最關鍵的是他還甩鍋,你說這個可咋整呀,我們唯一的辦法就是用證據,將他“繩之以法”!!!
1、查看當前登錄用戶信息
who命令:
who缺省輸出包括用戶名、終端類型、登陸日期以及遠程主機。
who /var/log/wtmp
可以查看自從wtmp文件創建以來的每一次登陸情況
(1)-b:查看系統最近一次啓動時間
(2)-H:打印每列的標題
users命令:
打印當前登錄的用戶,每個顯示的用戶名對應一個登陸會話。
2、history查看命令歷史
每個用戶都有一份命令歷史記錄
查看$HOME/.bash_history
或者在終端輸入: history
3、last命令
查看用戶登錄歷史
此命令會讀取 /var/log/wtmp文件;/var/log/btmp可以顯示遠程登陸信息。
last默認打印所有用戶的登陸信息。
如果想打印某個用戶的登陸信息,可以使用
last 用戶名
選項:
(1)-x:顯示系統開關機以及執行等級信息
(2)-a:將登陸ip顯示在最後一行
(3)-f :讀取特定文件,可以選擇 -f /var/log/btmp文件
(4)-d:將IP地址轉換爲主機名
(5)-n:設置列出名單的顯示列數
(6)-t:查看指定時間的用戶登錄歷史
例如:
last -t 20150226160404
顯示這個時間戳之前的登陸歷史
4、lastlog命令
查看所有用戶最近一次登錄歷史
命令將讀取/var/log/lastlog文件;用戶排列順序按照/etc/passwd中的順序
選項:
(1) -u:查看某個用戶的最後一次登陸歷史
例如: lastlog -u test
查看用戶test的登陸歷史
(2) -t:查看最近幾天之內的用戶登錄歷史
例如: lastlog -t 1
查看最近1天之內的登陸歷史
(3) -b:查看指定天數之前的用戶登錄歷史
例如: lastlog -b 60
查看60天之前的用戶登錄歷史
5、ac命令
根據/var/log/wtmp文件中的登陸和退出時間報告用戶連接的時間(小時),默認輸出報告總時間
(1)-p:顯示每個用戶的連接時間
(2)-d:顯示每天的連接時間
(3)-y:顯示年份,和-d配合使用