查看历史命令 history

生产上有文件被清空了，想查查是谁操作的?

通过history查看历史命令：

$history |more

也可以通过文件查看历史命令：

$vi ~/.bash_history 

只显示历史命令，像查一查谁登陆了系统执行了这些命令？

查看用户登陆系统信息

$last

想查查命令的执行时间：

$export HISTTIMEFORMAT='%F %T '$history|more

但是这种方式，设置HISTTIMEFORMAT以后的命令才会显示正确的时间，之前的命令并不会显示正确的时间。

确认了导致文件内容被清空的命令，类似内容如下：

lrwxrwxrwx. 1 root root    6 Jul 22 14:55 wc-link.txt -> wc.txt

通过ls显示详细信息，但是不小心把显示结果当做命令执行，文件是软链接，执行了重定向，结果将文件清空了。

但是并没有最终确认是谁操作的，由于大家都使用相同的用户操作，也没有关联到IP。你有什么好办法？

操作linux终端，通过[Ctrl]+[R]可以匹配查找历史命令。

原标题：查看历史命令 history

关键词：