文档介绍:Linux用户历史行为的追溯方法
1./var/account/t文件(非文本文件,每天1个,保留7天,轮替时间为每日4:02)
用于查找由于用户操作而引发的系统或应用的故障原因。
linux默认不启动该进程统计程序。但只要系统负荷和系统硬盘空间允许,可以使用该日志文件。
启动进程统计程序的命令:accton /var/account/t
停止进程统计程序的命令: accton
t日志文件记录了历史上曾经发生过的所有用户(含系统和应用)的所有操作(程序名【注:内部命令不记录,bash(linux默认的shell)常用的内部命令有:cd,kill等,全部内部命令可由命令man bash得到】,用户名,登录终端,命令运行时间段,日期和时间),结合last命令输出的终端所在的IP地址,我们就可知道用户在什么时间,从哪里登录,执行了什么命令,命令运行的时间长度。
遗憾的是没有操作命令的参数,因为该程序的只是为进程统计而设。
检查当前的命令(无参数)操作历史:
#m –f /var/account/t (如文件很大可使用登录工具的log来保存)
S sms __ secs Fri May 21 15:04
smppxmzd F root __ secs Fri May 21 15:04
crond SF root __ secs Fri May 21 15:04
sh S sms __ secs Fri May 21 15:04
ping S sms __ secs Fri May 21 15:04
crond SF root __ secs Fri May 21 15:04
sh S sms __ secs Fri May 21 15:04
ping S sms __ secs Fri May 21 15:04
consoletype root __ secs Fri May 21 15:04
cat root __ secs Fri May 21 15:04
crond SF root __ secs Fri May 21 15:04
sh S sms __ secs Fri May 21 15:04
ping S sms __ secs Fri May 21 15:04
sgipd F root __ secs Fri May 21 15:04
consoletype root __ secs Fri May 21 15:04
mv root pts/4 secs Fri May 21 15:03
ls S root pts/4 secs Fri May 21 15:03
[******@sms log]#
案例分析:
蓝色部分就是在日期时间May 21 15:03,用户root从终端 pts/4 登录上来,执行了命令“ls”和“mv”。
注意:该“mv”操作如果移走了系统或应用正在使用的目录或文件,则系统就会告警。而维护人员可根据此文件搜索到“mv”的操作者(m –f /var/a