我有一个debian服务器,我是服务器的管理员。服务器运行不正常,我想查看登录的最后3-4个用户执行了哪些命令(由每个登录会话分隔,因为同一个用户多次登录)。有什么方法可以做到这一点吗?我是root用户。
答案 0 :(得分:1)
我发现a decent article解释了各种审核工具,包括您想要的审核工具lastcomm。它是 acct 包的一部分,所以:
sudo apt-get install acct
输出非常详细,因此您可能希望过滤运行的命令:
$ lastcomm --command wajig apt-get
wajig tshepang pts/7 0.00 secs Tue Oct 8 22:56
wajig tshepang pts/7 0.00 secs Tue Oct 8 22:56
apt-get S root pts/7 0.52 secs Tue Oct 8 22:56
apt-get F root pts/7 0.00 secs Tue Oct 8 22:56
wajig tshepang pts/7 0.00 secs Tue Oct 8 22:47
apt-get S root pts/7 0.45 secs Tue Oct 8 22:47
apt-get F root pts/7 0.00 secs Tue Oct 8 22:47
更多信息,例如字段的含义可以在that article找到。
答案 1 :(得分:0)
它取决于shell,如果bash你可以尝试(以root身份):
cat /home/user_you_are_looking_for/.bash_history