Linux 用户历史行为的追溯方法 1./var/account/pacct 文件(非文本文件,每天1 个,保留7 天,轮替时间为每日4:02) 用于查找由于用户操作而引发的系统或应用的故障原因。 linux 默认不启动该进程统计程序。但只要系统负荷和系统硬盘空间允许,可以使用该日志文件。 启动进程统计程序的命令:accton /var/account/pacct 停止进程统计程序的命令: accton pacct 日志文件记录了历史上曾经发生过的所有用户(含系统和应用)的所有操作(程序名【注:内部命令不记录,bash(linux 默认的shell)常用的内部命令有:cd,kill 等,全部内部命令可由命令 man bash 得到】,用户名,登录终端,命令运行时间段,日期和时间),结合 last 命令输出的终端所在的IP 地址,我们就可知道用户在什么时间,从哪里登录,执行了什么命令,命令运行的时间长度。 遗憾的是没有操作命令的参数,因为该程序的只是为进程统计而设。 检查当前的命令(无参数)操作历史: #lastcomm –f /var/account/pacct (如文件很大可使用登录工具的log 来保存) ftp_get.php S sms __ 0.01 secs Fri May 21 15:04 smppxmzd F root __ 0.00 secs Fri May 21 15:04 crond SF root __ 0.00 secs Fri May 21 15:04 sh S sms __ 0.00 secs Fri May 21 15:04 ping S sms __ 0.00 secs Fri May 21 15:04 crond SF root __ 0.00 secs Fri May 21 15:04 sh S sms __ 0.00 secs Fri May 21 15:04 ping S sms __ 0.00 secs Fri May 21 15:04 consoletype root __ 0.00 secs Fri May 21 15:04 cat root __ 0.00 secs Fri May 21 15:04 crond SF root __ 0.00 secs Fri May 21 15:04 sh S sms __ 0.00 secs Fri May 21 15:04 ping S sms __ 0.00 secs Fri May 21 15:04 sgipd F root __ 0.00 secs Fri May 21 15:04 consoletype root __ 0.00 secs Fri May 21 15:04 mv root pts/4 0.00 secs Fri May 21 15:03 ls S root pts/4 0.00 secs Fri May 21 15:03 [root@sms log]# 案例分析: 蓝色部分就是在日期时间May 21 15:03,用户root从终端 pts/4 登录上来,执行了命令“ls”和“mv ”。 注意:该“mv”操作如果移走了系统或应用正在使用的目录或文件,则系统就会告警。而维护人...
