如何查看Linux操作记录

一、查看系统登录记录

一般情况下，我们可以通过/var/log目录下的auth.log文件来查看系统的登录记录，使用以下命令可以查看该文件的最后10行：

sudo tail /var/log/auth.log

如果希望查看所有的登录记录，可以使用grep过滤：

sudo cat /var/log/auth.log | grep "session opened"

这个命令可以查看所有的登录记录，包括SSH登录、本地登录等。

二、查看历史命令记录

Bash shell可以记录我们执行的所有命令，通常这些记录保存在~/.bash_history文件中。我们可以使用下面的命令来查看最近执行的10条命令：

tail ~/.bash_history

如果希望查看所有的历史命令记录，可以使用以下命令：

history

这个命令会列出所有的历史命令记录，包括执行时间和执行人。

三、查看系统日志记录

除了登录记录和命令记录之外，系统还会记录一些重要的事件和错误信息。这些信息通常保存在/var/log目录下的各个日志文件中，如syslog、kern.log、dmesg等。

以下是查看系统日志记录的一些常用命令：

sudo cat /var/log/syslog

sudo cat /var/log/kern.log

sudo cat /var/log/dmesg

四、使用Auditd进行详细记录

除了上述方法，我们还可以使用Auditd来进行详细的操作记录和审计。Auditd是一个系统审计工具，可以记录所有的系统事件、文件变更、进程启动、权限变更等，并将这些记录保存在/var/log/audit/目录下的audit.log文件中。

以下是使用Auditd进行记录的一些命令：

sudo service auditd start

sudo auditctl -l

sudo auditctl -a always,exit -F arch=b64 -S execve -k myAuditRule

这个命令的含义是，将执行execve系统调用的进程记录下来，并打上myAuditRule的标志。我们可以通过执行该命令后使用some命令，来测试是否能够记录下相关事件，如：

touch testfile
sudo some testfile

sudo ausearch -k myAuditRule

五、结论

通过以上方法，我们可以在Linux系统中查看操作记录，并对系统的安全性进行审计。