Linux 查看系统日志 执行日志 安全日志 history 登录日志
修改history记录
- 打开配置文件
vim /etc/profile或~/.bash_profile
- 显示执行的用户及其IP添加,将下面内容添加到末尾
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` #获取用户登录IP
if [ "$USER_IP" = "" ]
then USER_IP=`hostname`;fi
export HISTTIMEFORMAT="[%F %T][`whoami`][${USER_IP}] " #定义历史命令显示格式
- 只显示时间添加
export HISTTIMEFORMAT="[%F %T]"
- 生效修改
source [/etc/profile|.bash_profile]
安全日志
-- 查看日志
cat /var/log/secure | grep "关键词"
-- 关键词含义表
名称 | 含义 |
Accepted password | 密码登录成功 |
Invalid user | 无效用户 |
Connection closed | 连接关闭 |
pam_unix(sshd:session):session opened | 会话开启 |
not receive identfication string | 未收到识别字符串 |
执行日志
-- 查看最后10条日志
journalctl -n 10
-- 只显示冲突、告警和错误
journalctl -p err..alert
-- 显示某个单元日志(也可以同时显示多个增加多个 -u nginx.service -u php-fom.service)
journalctl -u nginx.service
登录日志
-- 查看用户最后一次登录信息
lastlog
-- 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况)
last -a | grep 'Sep 21'
-- 查看当前登录用户
who
-- 登录进入和退出纪录
w
-- 查看系统是否被入侵
https://www.cnblogs.com/iwalkman/p/10282291.html