Linux

獲取操作/命令歷史日誌?

  • August 13, 2016

伺服器管理網站控制伺服器。例如,我按下保存按鈕,然後將更新 Linux 伺服器上的配置。它登錄到伺服器,然後更新配置文件。

驗證日誌範例:

Aug 13 20:07:19 ladev sshd[14141]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 13 20:07:19 ladev systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
Aug 13 20:07:19 ladev systemd-logind[1426]: New session 235 of user root.
Aug 13 20:07:19 ladev sshd[14141]: Received disconnect from 10x.236.2xx.xxx port 50291:11: disconnected by user
Aug 13 20:07:19 ladev sshd[14141]: Disconnected from 10x.236.2xx.xxx port 50291
Aug 13 20:07:19 ladev sshd[14141]: pam_unix(sshd:session): session closed for user root
Aug 13 20:07:19 ladev systemd-logind[1426]: Removed session 235.
Aug 13 20:07:20 ladev sshd[14186]: Accepted publickey for root from 10x.236.2xx.xxx port 50292 ssh2: RSA SHA256:xxxxxxxxxxxxxxxxxxxxx

我如何找出它在做什麼來更新文件以及它正在使用什麼命令?

還有一種方法可以找出它使用的是什麼 SSH 客戶端?

bash_history它在andhistory命令中不可用

編輯:我不擁有的伺服器管理網站不在同一台伺服器上。

如果我有任何誤解,我深表歉意,但您的問題很難閱讀。

如果您沒有審核設置,那麼您將不會記錄您想要的資訊。來自 sshd 的日誌記錄也是如此 - 您需要確保 sshd 在發生某事之前而不是之後記錄資訊。

搜尋 serverfault 以獲取有關配置 auditd 的資訊。您將需要它來查看正在執行的命令。

https://serverfault.com/search?q=auditd

並閱讀 OpenSSH 的手冊頁以更改 sshd 日誌記錄/調試。您將需要它來盡可能多地獲取有關 ssh 連接的資訊。

$ man sshd_config

引用自:https://serverfault.com/questions/796676