你的位置:首页 > 操作系统

[操作系统]查看history命令


生产上有文件被清空了,想查查是谁操作的?

 

通过history查看历史命令:

$history |more

 

也可以通过文件查看历史命令:

$vi ~/.bash_history 

 

只显示历史命令,像查一查谁登陆了系统执行了这些命令?

查看用户登陆系统信息

$last

 

想查查命令的执行时间:

$export HISTTIMEFORMAT='%F %T '$history|more

但是这种方式,设置HISTTIMEFORMAT以后的命令才会显示正确的时间,之前的命令并不会显示正确的时间。

 

确认了导致文件内容被清空的命令,但是并没有最终确认是谁操作的,由于大家都使用相同的用户操作,也没有关联到IP。你有什么好办法?

 

操作linux终端,通过[Ctrl]+[R]可以匹配查找历史命令。