温馨提示×

linux acct 日志文件怎样查看

小樊
97
2024-08-26 22:56:16
栏目: 智能运维

在 Linux 系统中,acct(accounting)模块用于记录用户登录、注销、运行命令等信息

  1. 首先,确保 acct 模块已经安装并启用。在大多数发行版中,它通常作为 psacctacct 软件包提供。要安装它,请使用以下命令:

    对于基于 Debian 的系统(如 Ubuntu):

    sudo apt-get install psacct
    

    对于基于 RHEL 的系统(如 CentOS):

    sudo yum install psacct
    
  2. 确认 acct 模块是否已加载。运行以下命令:

    lsmod | grep acct
    

    如果输出中显示了 acct 模块,那么它已经加载。如果没有,请运行以下命令加载 acct 模块:

    sudo modprobe acct
    
  3. 现在,你可以使用 lastcomm 命令查看 acct 日志文件。这个命令会显示所有用户运行过的命令及其运行时间。运行以下命令:

    lastcomm
    

    你还可以使用以下选项来定制输出:

    • -u:指定用户名,只显示该用户的命令。
    • -n:指定要显示的命令数量。
    • -f:显示完整的命令行。
    • -d:按日期排序。
    • -e:显示命令结束时间。

    例如,要查看用户 “john” 运行过的最后 5 个命令,可以运行:

    lastcomm -u john -n 5
    
  4. 若要停止记录 acct 日志,请运行以下命令卸载 acct 模块:

    sudo modprobe -r acct
    

请注意,acct 日志文件通常位于 /var/log/account/var/run/utmp。然而,在使用 lastcomm 命令时,你不需要直接访问这些文件,因为该命令会自动处理它们。

0