当一台主机有多个人(这个范围是确定的)使用的时候,并且可能使用相同的账号,通过history可以查看之前的人就执行过什么命令(当然别人也可以清除记录,但至少可以看到执行过清除的动作),但是无法看到是这些人在什么时候执行的这个操作,对后面管理、分析带来了困难。
为此,
为history的结果设置显示执行的时间点,再配合last命令,有助于对主机使用历史的分析。设置时间戳,就要用到HISTTIMEFORMAT这个参数,默认的记录数是1000,可以通过HISTSIZE来配置。为了方便针对所有用户,可以修改/etc/profile这个文件,这个对所有人生效(关于配置文件/etc/profile、/etc/bashrc、~/.bash_profile、~/.bashrc、~/.bash_logout、~/.bash_history请看http://blog.chinaunix.net/uid-25892360-id-2808023.html、http://blog.chinaunix.net/uid-25892360-id-3079269.html)。修改方法:
-
[root@web1 ~]# vim /etc/profile
-
加入:
-
#name 2015-12-30
-
export HISTTIMEFORMAT="%F %T "
-
export HISTSIZE=2000
-
[root@web1 ~]# source /etc/profile
-
[root@web1 ~]# history
1 2015-12-30 10:15:43 df
2 2015-12-30 10:15:43 cd home
3 2015-12-30 10:15:43 cd /home
4 2015-12-30 10:15:43 ls
5 2015-12-30 10:15:43 fdisk -l
6 2015-12-30 10:15:43 cd /etc
[root@web1 ~]# last
root pts/3 192.168.209.131 Wed Dec 30 10:15 still logged in
root pts/2 192.168.215.131 Wed Dec 30 10:13 still logged in
root pts/2 192.168.214.245 Mon Dec 28 10:27 - 12:19 (01:51)
jiance pts/1 192.168.3.204 Thu Dec 17 14:43 still logged in
jiance pts/0 192.168.3.204 Tue Dec 15 16:16 still logged in
root pts/3 192.168.215.63 Fri Dec 4 17:00 - 17:08 (00:07)
jiance pts/2 192.168.3.204 Tue Dec 1 10:50 - 16:07 (14+05:16)
root pts/2 192.168.215.70 Thu Nov 26 17:37 - 17:38 (00:01)
root pts/2 192.168.215.70 Thu Nov 26 17:29 - 17:33 (00:04)
jiance pts/2 192.168.209.108 Thu Nov 26 10:54 - 10:54 (00:00)
jiance pts/2 192.168.209.108 Fri Nov 20 15:27 - 15:39 (00:11)
阅读(2316) | 评论(1) | 转发(0) |
