Linux下利用psacct审计系统帐号连接时间, 用户操作
一般情况下需要查询用户的历史命令,连接时间,连接IP需要查询多个命令或日志 :
history 查询用户的历史命令 默认HISTSIZE=1000 记录最近的1000行命令,默认是没有记录执行时间的,也看不到来自哪个终端
/var/log/secure 查询登陆时间,来源IP
lastlog 各个系统帐号最后登陆的时间
使用psacct-6.3.2-44.el5(现在yum源上的版本)就能一次查询多个信息,相对于上面的方法更加简便有效.
要使用psacct必须安装软件包且启动psacct服务. 启动了服务之后才开始统计. 信息将记录进/var/log/psacct
psacct的4个核心命令 :
1) ac [参数] 按要求统计帐号总连接时间, 不加参数则统计连接时间总和
ac常用参数
ac [ -d | --daily-totals ] [ -y | --print-year ]
[ -p | --individual-totals ] [ people ]
2) lastcomm [参数] 可以看到由近到远帐号执行命令内容,时间点,终端,消耗的CPU时钟. 不带参数时你还可以看到系统服务执行的命令。使用管道执行的命令每个命令都会占用一行。
lastcomm常用参数:
lastcomm
[ command-name ... ]
[ user-name ... ]
[ terminal-name ... ]
3) accton 打开/关闭统计
4) sa 以命令为单位报告系统资源消耗量.
扩展链接
阅读(2539) | 评论(0) | 转发(0) |