获取某些特定类型的日志

获取某些特定类型的日志

我想从我的服务器获取一些日志,但不是一般的日志,而是syslog很多随机日志。我想知道如何获取诸如登录(包含时间、IP 和用户名)、用户运行的命令、当时运行的进程等日志。

答案1

对于登录:查看last命令。

他们运行了哪些命令:查看lastcomm命令。此外,任何运行的特权命令sudo都将记录在系统日志中。

答案2

要记录用户运行的命令,您需要启用 Linux 进程记账。它应该在名为的软件包中acct(在 Debian 上,在基于 redhat 的发行版上可能类似),并包含两个部分。第一个是accton在启动时运行的命令,它告诉内核记录所有运行的内容(您的软件包应该为您设置了这一点)。另一部分是一组实用程序,它们读取日志文件并从中打印有用的信息。在 Debian 上,这包括

  • dump-acct解码二进制日志文件并将数据转储为文本
  • sa其功能大致相同,但重点是提取运行的程序。
  • lastcomm转储特定终端、用户或命令的日志。

还有一些其他方法可以确定人们连接了多长时间。您需要决定从日志中获取什么,因为记录了很多东西,但是本网站有一些你可以做的事情的例子。

答案3

您到底想实现什么?您可能想启用 BASH 历史记录功能并在那里启用时间戳。但这不会为您提供在特定时间运行的进程。

相关内容