【Linux】Linux下跟踪记录每个用户对主机服务器进行的操作

linux中跟踪每个用户对主机的操作，看有人之前已经写过​​如此shell​​，可直接参考，参考如下：

1.记录操作信息

这个脚本需添加至/etc/profile
脚本如下：

# file name record1.0

history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
        USER_IP=`hostname`
fi

if [ ! -d /tmp/operation ]
then
        mkdir /tmp/operation
        chmod 777 /tmp/operation
fi

if [ ! -d /tmp/operation/${LOGNAME} ]
then
        mkdir /tmp/operation/${LOGNAME}
        chmod 700 /tmp/operation/${LOGNAME}
fi

export HISTSIZE=4096

DT=`date +%Y%m%d`

# file=`find /tmp/operation/${LOGNAME}/ |awk '/'$DT'$/'`
file=/tmp/operation/${LOGNAME}/${USER_IP}-susworld.$DT
if [ -e "$file" ]
then
        export HISTFILE="/tmp/operation/${LOGNAME}/${USER_IP}-susworld.$DT.tmp"
        tmpfile=/tmp/operation/${LOGNAME}/${USER_IP}-susworld.$DT.tmp
        if [ -e "$tmpfile" ]
        then
                cat /tmp/operation/${LOGNAME}/${USER_IP}-susworld.$DT.tmp >> $file
        fi
else
        export HISTFILE="/tmp/operation/${LOGNAME}/${USER_IP}-susworld.$DT"
fi
 rm -f /tmp/operation/${LOGNAME}/${USER_IP}-susworld.$DT.tmp
chmod 600 /tmp/operation/${LOGNAME}/*susworld* 2>/dev/null

该脚本将记录凡用户登陆后进行的任何操作，并生成对应用户当日的操作日志共日后查询。

2.查询操作信息

配合下面这个shell，进行查询，使用起来更加方便。

#!/bin/sh -
# filename getrecord

user=
time=


while [ $# -gt 0 ]
do
        case $1 in
        -u|--user) user=$2
                   shift 2
                   ;;
        -t|--time) time=$2
                   shift 2
                   ;;
        -*)        echo "$0:$1 Wrong Options!" >&2
                   shift
                   exit 0
                   ;;
        --)        break
                   ;;
        *)         break
                   ;;
        esac
done


if [ -z "$user" ]
then
        user=${LOGNAME}
fi


if [ -z "$time" ]
then
        time=`date +%Y%m%d`
fi


file=`find /tmp/operation/$user/ |awk '/'$time'$/'`
cat $file

此段shell通过接收用户及时间参数来查看某用户的历史操作记录，如：
# getrecord -u root -t 20101223     --查看root在12月23号对服务器做的记录
如果不给定参数，shell将提取当前登陆用户及当日时间来进行查询.

也可以将此shell添加到bin中，直接使用命令来查询：
# mv getrecord ~/bin
# getrecord

3.其他查询操作命令

参考​​这个​​：

一些异常用户试图移去系统上的所有活动记录(比如 ~/.bash_history), 不过我们可以使用专门的工具来监视所有用户执行的命令. 推荐你使用进程记帐来记录用户的活动, 你可以通过进程记帐查看每一个用户执行的命令, 包括CPU时间和内存占用.

　　psacct程序提供了几个进程活动监视工具: ac, lastcomm, accton和sa.

　　.ac命令显示用户连接时间的统计.

　　.lastcomm命令显示系统执行的命令.

　　.accton命令用于打开或关闭进程记帐功能.

　　.sa命令统计系统进程记帐的情况.

赠人玫瑰
手留余香

我们曾如此渴望命运的波澜，到最后才发现：人生最曼妙的风景，竟是内心的淡定与从容……我们曾如此期盼外界的认可，到最后才知道：世界是自己的，与他人毫无关系！-杨绛先生

如果，您希望更容易地发现我的新博客，不妨点击一下绿色通道的【关注我】。