生產上有文件被清空了,想查查是誰操作的?
通過history查看歷史命令:
$history |more
也可以通過文件查看歷史命令:
$vi ~/.bash_history
只顯示歷史命令,像查一查誰登陸了系統執行了這些命令?
查看用戶登陸系統信息
$last
想查查命令的執行時間:
$export HISTTIMEFORMAT='%F %T ' $history|more
但是這種方式,設置HISTTIMEFORMAT以后的命令才會顯示正確的時間,之前的命令並不會顯示正確的時間。
確認了導致文件內容被清空的命令,類似內容如下:
lrwxrwxrwx. 1 root root 6 Jul 22 14:55 wc-link.txt -> wc.txt
通過ls顯示詳細信息,但是不小心把顯示結果當做命令執行,文件是軟鏈接,執行了重定向,結果將文件清空了。
但是並沒有最終確認是誰操作的,由於大家都使用相同的用戶操作,也沒有關聯到IP。你有什么好辦法?
操作linux終端,通過[Ctrl]+[R]可以匹配查找歷史命令。