Linux
獲取操作/命令歷史日誌?
伺服器管理網站控制伺服器。例如,我按下保存按鈕,然後將更新 Linux 伺服器上的配置。它登錄到伺服器,然後更新配置文件。
驗證日誌範例:
Aug 13 20:07:19 ladev sshd[14141]: pam_unix(sshd:session): session opened for user root by (uid=0) Aug 13 20:07:19 ladev systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0) Aug 13 20:07:19 ladev systemd-logind[1426]: New session 235 of user root. Aug 13 20:07:19 ladev sshd[14141]: Received disconnect from 10x.236.2xx.xxx port 50291:11: disconnected by user Aug 13 20:07:19 ladev sshd[14141]: Disconnected from 10x.236.2xx.xxx port 50291 Aug 13 20:07:19 ladev sshd[14141]: pam_unix(sshd:session): session closed for user root Aug 13 20:07:19 ladev systemd-logind[1426]: Removed session 235. Aug 13 20:07:20 ladev sshd[14186]: Accepted publickey for root from 10x.236.2xx.xxx port 50292 ssh2: RSA SHA256:xxxxxxxxxxxxxxxxxxxxx
我如何找出它在做什麼來更新文件以及它正在使用什麼命令?
還有一種方法可以找出它使用的是什麼 SSH 客戶端?
bash_history
它在andhistory
命令中不可用編輯:我不擁有的伺服器管理網站不在同一台伺服器上。
如果我有任何誤解,我深表歉意,但您的問題很難閱讀。
如果您沒有審核設置,那麼您將不會記錄您想要的資訊。來自 sshd 的日誌記錄也是如此 - 您需要確保 sshd 在發生某事之前而不是之後記錄資訊。
搜尋 serverfault 以獲取有關配置 auditd 的資訊。您將需要它來查看正在執行的命令。
https://serverfault.com/search?q=auditd
並閱讀 OpenSSH 的手冊頁以更改 sshd 日誌記錄/調試。您將需要它來盡可能多地獲取有關 ssh 連接的資訊。
$ man sshd_config