linux(RedHat)用户历史行为的追溯方法VIP免费

Linux 用户历史行为的追溯方法 1．/var/account/pacct 文件（非文本文件，每天1 个，保留7 天，轮替时间为每日4：02） 用于查找由于用户操作而引发的系统或应用的故障原因。 linux 默认不启动该进程统计程序。但只要系统负荷和系统硬盘空间允许，可以使用该日志文件。 启动进程统计程序的命令：accton /var/account/pacct 停止进程统计程序的命令: accton pacct 日志文件记录了历史上曾经发生过的所有用户（含系统和应用）的所有操作（程序名【注：内部命令不记录，bash（linux 默认的shell）常用的内部命令有：cd，kill 等，全部内部命令可由命令 man bash 得到】，用户名，登录终端，命令运行时间段，日期和时间），结合 last 命令输出的终端所在的IP 地址，我们就可知道用户在什么时间，从哪里登录，执行了什么命令，命令运行的时间长度。 遗憾的是没有操作命令的参数，因为该程序的只是为进程统计而设。 检查当前的命令（无参数）操作历史： #lastcomm –f /var/account/pacct （如文件很大可使用登录工具的log 来保存） ftp_get.php S sms __ 0.01 secs Fri May 21 15:04 smppxmzd F root __ 0.00 secs Fri May 21 15:04 crond SF root __ 0.00 secs Fri May 21 15:04 sh S sms __ 0.00 secs Fri May 21 15:04 ping S sms __ 0.00 secs Fri May 21 15:04 crond SF root __ 0.00 secs Fri May 21 15:04 sh S sms __ 0.00 secs Fri May 21 15:04 ping S sms __ 0.00 secs Fri May 21 15:04 consoletype root __ 0.00 secs Fri May 21 15:04 cat root __ 0.00 secs Fri May 21 15:04 crond SF root __ 0.00 secs Fri May 21 15:04 sh S sms __ 0.00 secs Fri May 21 15:04 ping S sms __ 0.00 secs Fri May 21 15:04 sgipd F root __ 0.00 secs Fri May 21 15:04 consoletype root __ 0.00 secs Fri May 21 15:04 mv root pts/4 0.00 secs Fri May 21 15:03 ls S root pts/4 0.00 secs Fri May 21 15:03 [root@sms log]# 案例分析： 蓝色部分就是在日期时间May 21 15:03，用户root从终端 pts/4 登录上来，执行了命令“ls”和“mv ”。 注意：该“mv”操作如果移走了系统或应用正在使用的目录或文件，则系统就会告警。而维护人...