У меня есть сервер debian, и я администратор сервера. Сервер работает некорректно, и я хотел бы посмотреть, какие команды были выполнены последними из трех пользователей, которые вошли в систему (разделенные каждым сеансом входа, поскольку один и тот же пользователь регистрировался более одного раза). Есть ли способ сделать это? Я - пользователь root.Как узнать, какие команды используют конкретный сеанс входа в систему?
Я нашел a decent article, что объясняет различные инструменты аудита, в том числе тот, который вы хотите, lastcomm. Это часть Acct пакета, так что:
sudo apt-get install acct
Выход очень подробно, так что вы можете отфильтровать какие команды запускались:
$ lastcomm --command wajig apt-get
wajig tshepang pts/7 0.00 secs Tue Oct 8 22:56
wajig tshepang pts/7 0.00 secs Tue Oct 8 22:56
apt-get S root pts/7 0.52 secs Tue Oct 8 22:56
apt-get F root pts/7 0.00 secs Tue Oct 8 22:56
wajig tshepang pts/7 0.00 secs Tue Oct 8 22:47
apt-get S root pts/7 0.45 secs Tue Oct 8 22:47
apt-get F root pts/7 0.00 secs Tue Oct 8 22:47
Далее информация, например, значение полей, можно найти на that article.
Это зависит от оболочки, если Баш вы можете попробовать (как корень):
cat /home/user_you_are_looking_for/.bash_history
Это не будет разделяться сеансом входа в систему. Одним из способов является сохранение истории базового bash для каждого пользователя, затем XOR с историей bash в конце сеанса, а затем сохранение ее по идентификатору сеанса. –