1、前言

? ? ? 我們在實(shí)際工作當(dāng)中，都碰到過誤操作、誤刪除、誤修改過配置文件等等事件。對于沒有堡壘機(jī)的公司來說，要在linux系統(tǒng)上深究到底誰做過配置文件的修改、做過誤刪除是很頭疼的事情，特別是遇到刪庫跑路的事件，更頭大了。當(dāng)然你可以通過history來查看歷史命令記錄，如果把history記錄涂抹掉了，是不是啥也看不到了，如果你想查看在某個時間段到底是誰通過vim編輯過某個文件呢？

? ? ? 那么，有什么辦法可以看見這些操作呢，答案是一定有的，具體怎么實(shí)現(xiàn)呢，linux script命令正有如此強(qiáng)大的功能，可以滿足我們的需求，script可以記錄終端會話，只要是linux6.3以上的系統(tǒng)，都會自帶script命令，下面我用centos 7系統(tǒng)來測試一下。

2、配置

2.1 驗(yàn)證script命令（我這里是有的）

1 2	[root@localhost?~]#?which?script /usr/bin/script

2.2 配置profile文件，在末尾添加如下內(nèi)容：

1 2 3 4 5

[root@localhost?~]#?vim?/etc/profile if?[?$UID?-ge?0?];?then ????????exec?/usr/bin/script?-t?2>/var/log/script/$USER-$UID-`date?+%Y%m%d%H%M`.date?-a?-f?-q?/var/log/script/$USER-$UID-`date?+%Y%m%d%H%M`.log fi

參數(shù): ????-t　　　?指明輸出錄制的時間數(shù)據(jù) ????-f?????如果需要在輸出到日志文件的同時，也可以查看日志文件的內(nèi)容，可以使用?-f?參數(shù)。PS:可以用于教學(xué),兩個命令行接-f可以實(shí)時演示 ????-a?????輸出錄制的文件，在現(xiàn)有內(nèi)容上追加新的內(nèi)容 ????-q?????可以使script命令以靜默模式運(yùn)行

如下圖所示：

說明：

用戶登錄執(zhí)行的操作都會記錄到/var/log/script/*.log? 里（保存日志的目錄根據(jù)你自己定義），我們可以通過more、vi等命令查看目錄里的日志。

注意：

• 我這里把用戶ID大于0的都記錄下來了，你可以重新登錄用戶，隨便操作一些命令，查看生成的文件。

• root用戶的ID為0，新建普通用戶的UID是從500開始的(通過cat /etc/password可以查看用戶的UID)，如果你不想記錄root用戶的操作，你把if里面的值改成500：? if [ $UID - ge 500 ];

2.3 創(chuàng)建目錄、賦予權(quán)限

????你是不是以為寫了這條if語句在/etc/profile文件中就完事了，目錄都沒創(chuàng)建呢：

1 2 3 4

[root@localhost?~]#?mkdir?/var/log/script #最好給個777的權(quán)限，我用744的權(quán)限反正也生效 [root@localhost?~]#?chmod?777?/var/log/script/

2.4 使環(huán)境生效

1	[root@localhost?~]#?source??/etc/profile

3、驗(yàn)證

????好了，你可以退出linux終端，在重新登錄一下，然后隨便敲幾個命令來看看。

1 2 3 4 5 6 7

[root@localhost?~]#?cd?/var/log/script/ [root@localhost?script]#?ll total?16 -rw-r--r--?1?root?root???68?Dec?22?15:46?root-0-201712221545.date -rw-r--r--?1?root?root??111?Dec?22?15:46?root-0-201712221545.log -rw-r--r--?1?root?root????0?Dec?22?15:46?root-0-201712221546.date -rw-r--r--?1?root?root?5693?Dec?22?15:46?root-0-201712221546.log

從上圖可以看到，在/var/log/script目錄中，已經(jīng)產(chǎn)生了log和data為后綴的文件，并且還看到了root用戶和UID號0。

????.log：記錄了操作

????.data：可以回放操作

我們用scriptreplay來回放一下操作，看下效果如何：

1	[root@localhost?script]#?scriptreplay?root-0-201712221545.date?root-0-201712221545.log

注意：先指定“時間文件 .data”，然后是“命令文件 .log”，不要顛倒了。

以上就完也了記錄用戶的所有操作，并且還可以隨時查看，相當(dāng)于有回放功能，像錄像一樣，以后定位是誰的問題就好找原因了。

本文轉(zhuǎn)自甘兵 51CTO博客，原文鏈接：http://blog.51cto.com/ganbing/2053636，如需轉(zhuǎn)載請自行聯(lián)系原作者

與50位技術(shù)專家面對面20年技術(shù)見證，附贈技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的linux系统监控：记录用户操作轨迹，谁动过服务器的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。