Linux 下审计命令之查看历史操作命令 history 详解

文章

林里克斯

一、命令详解

1.参数详解

-c      #清空当前历史命令
-a      #将历史命令缓冲区中命令写入历史命令文件 ~/.bash_history
-r      #将历史命令文件中的命令读入当前历史命令缓冲区
-w      #将当前历史命令缓冲区命令写入历史命令文件中 ~/.bash_history
-d num  #删除特定的 num 的历史命令
num     #显示 num 行历史命令

2.history 环境变量

HISTSIZE        #记录多少历史命令(默认 1000)
HISTTIMEFORMAT  #附加信息，可增加显示其他内容(比如操作时间)
HISTFILE        #历史命令记录在那个路径(默认 ~/.bash_history)
HISTFILESIZE    #历史命令记在在文件里多少条(默认 1000)
HISTCONTROL     #重复执行的命令是否显示
[默认 ignoredups(连续执行的不显示) | erasedups(重复的都不显示) | 跟特定命令即不显示特定命令(如 ls/pwd/cd/) | ignorespace (忽略所有以空白开头的命令) | ignoreboth (相当于 ignoredups, ignorespace 的组合)]

二、实用案例

1.添加何时操作的时间(时间记录只会从操作这一步开始记录，以前操作的命令都会记录为操作了这一步的时间。)

$ history 
1  ls
2  useradd -d /home/jarbo jarbo
3  useradd -d /home/shsnc shsnc
4  passwd jarbo
5  yum -y install gcc gcc-c++
6  yum -y install vim
7  ls
#默认的 history 显示的这样

1.1 添加环境变量

$ vim ~/.bash_profile
export HISTTIMEFORMAT='%F %T '
$ source ~/.bash_profile

1.2 再次验证

# history 
1  2021-01-12 14:51:38 ls
2  2021-01-12 14:51:38 useradd -d /home/jarbo jarbo
3  2021-01-12 14:51:38 useradd -d /home/shsnc shsnc
4  2021-01-12 14:51:38 passwd jarbo
5  2021-01-12 14:51:38 yum -y install gcc gcc-c++
6  2021-01-12 14:51:38 yum -y install vim
7  2021-01-12 14:51:38 ls
8  2021-01-12 15:36:41 history
9  2021-01-12 15:42:20 history
#因为这些命令是刚创建的主机是执行的，所以时间全显示的是一个时间，再后执行的话就会正常记录

1.3 再细化出显示出用户/登录 Client IP/登录用户

$ vim ~/.bash_profile
export HISTTIMEFORMAT="%F %T `who -u am i 2>/dev/null| awk '{print $NF}'|sed \-e 's/[()]//g'` `whoami` "
$ source ~/.bash_profile

1.4 查看效果

$ history 
1  2021-01-12 14:54:03 10.10.13.1 jarbo ip addr
2  2021-01-12 15:36:37 10.10.13.1 jarbo history 
3  2021-01-12 15:41:04 10.10.13.1 jarbo vim ~/.bash_profile 
4  2021-01-12 15:41:24 10.10.13.1 jarbo source ~/.bash_profile 
5  2021-01-12 15:41:27 10.10.13.1 jarbo history

Over~