您好,我正在尝试找出上次重启我服务器的人。
我知道命令last reboot | head -1
,last -d reboot
但它们没有显示从哪个客户端 IP 完成的。
我有 Linux CentOS7 服务器。
我知道这有点难找,但也许有人可以帮忙,我现在没有任何想法。
问候
答案1
如果服务器是由已登录用户重新启动的,则last | less
命令将为您提供登录机器的人员的历史记录、登录时间和连接设备的 IP。搜索服务器重新启动的时间并检查当时登录的用户。
如果当时有多个用户登录并且您具有 root 访问权限,则可以检查.bash_history
配置文件目录中的文件(对于 CentOS,应该可以在某处找到,/home
例如,如果您的服务器是域 /home/domain/username 的一部分)。
如果您专门搜索“重新启动”命令,我还会注意到这shutdown -r
也会重新启动服务器,因此不要被发现。
答案2
我建议跟踪第一个发出reboot
命令的用户,这可以使用 Linuxaudit
系统来完成。查看答案这里了解详情。然后,当你知道用户名时,你就可以继续跟踪 IP。