¿Cómo ver el historial de operaciones de un archivo en Linux?

1. Utilice el comando w para ver la información del proceso que utiliza el usuario que inició sesión. El comando w se utiliza para mostrar los nombres de los usuarios que han iniciado sesión en el sistema y lo que están haciendo. La información utilizada en este comando proviene del archivo /var/run/utmp. La información generada por el comando w incluye:

Nombre de usuario

El nombre de la máquina del usuario o número tty.

Dirección del host remoto

La hora en que el usuario inició sesión en el sistema.

Tiempo de inactividad (poco útil)

Tiempo empleado por el proceso adjunto al tty (terminal) (tiempo JCPU)

Tiempo empleado por el proceso actual (Hora de PCPU)

El comando que está utilizando actualmente el usuario.

$w

23:04:27 hasta 29 días, 7:51, 3 usuarios, carga promedio: 0.04, 0.06, 0.02

Iniciar sesión @ IDLE JCPU PCPU QUÉ USUARIO TTY

Ramesh pts/0 10.1.80.56 22:57 8,00 seg 0,05 seg 0,01 seg sshd: Ramesh [priv]

jay Senpts/1 10.20.48 23 :01 2:53 0.01s 0.01s-Bash

Johnpts/2 10.1.80.7 23:04 0.00s 0.00s 0.00s w

Además, puedes usar Who am I to ver los usuarios y procesos usando este comando, y ¿Quién soy yo? para ver la información del proceso de todos los usuarios que han iniciado sesión. Estos comandos de visualización son similares.

2. En el entorno del sistema Linux, ya sea el usuario root u otros usuarios que inician sesión en el sistema, podemos ver el historial a través del historial de comandos. Sin embargo, si varias personas inician sesión en un servidor, un día porque una mala operación provocó que se eliminaran datos importantes. Ver el historial (comando: historial) no tiene sentido en este momento (porque el historial solo es válido para usuarios que han iniciado sesión, e incluso el usuario root no puede obtener el historial de otros usuarios). ¿Hay alguna manera de lograr un historial de operaciones registrando la dirección IP y un nombre de usuario después de iniciar sesión? Respuesta: Sí.

Esto se puede lograr agregando el siguiente código a /etc/profile:

PS 1 = " ` whoami `@ ` hostname `: " '[$PWD]'

Historial

USER_IP = ` ¿quién eres? gt;/dev/null | awk "{ print $NF }" | sed-e ' s/[()] // g ' ` s

if[" $userIP" = "" ]

Entonces

USER_IP=`hostname '

El barco no corre con los gastos de carga

Si [! -d /tmp/dbasky ]

Entonces

mkdir /tmp/dbasky

chmod 777 /tmp/dbasky

El barco No pagar costes de carga

Si [! -d/tmp/DBA sky/$ {log name} ]

Entonces

mkdir /tmp/dbasky/${LOGNAME}

chmod 300 /tmp /dbasky/${LOGNAME}

El barco no corre con los costos de carga

Tamaño del historial de exportación=4096

DT = ` fecha " Y- M- d _ H: M: S " ` d

exportar archivo histórico = "/tmp/DBA sky/$ { LOGNAME }/$ { USER _ IP } DBA $DT "

chmod 600/tmp/DBA sky/$ { LOGNAME }/* DBA sky * 2 gt;/dev/null

Fuente /etc/profile utiliza el script para que surta efecto.

Cierre la sesión del usuario y luego vuelva a iniciarla.

El script anterior crea un nuevo directorio dbasky en el /tmp del sistema y registra todos los usuarios que iniciaron sesión en el sistema y sus direcciones IP (nombres de archivos). Cada vez que un usuario inicia o cierra sesión, se crea un archivo correspondiente para guardar el historial de operaciones del usuario durante el período de inicio de sesión. Este método se puede utilizar para monitorear la seguridad del sistema.

root@zsc6:[/tmp/dbasky/root]ls

10.1.80 47 DBA cielo 2013-10-24_12:53:08

root@zsc 6:[/tmp/DBA sky/root]cat 10.1.80.47 DBA sky.2013-10-24_12:53:08

Ver 12:53:08 El historial de comandos operados por el usuario root inició sesión desde 10.1.80.47.