生产上有文件被清空了,想查查是谁操作的?
通过history查看历史命令:
$history |more
也可以通过文件查看历史命令:
$vi ~/.bash_history
只显示历史命令,像查一查谁登陆了系统执行了这些命令?
查看用户登陆系统信息
$last
想查查命令的执行时间:
$export HISTTIMEFORMAT='%F %T ' $history|more
但是这种方式,设置HISTTIMEFORMAT以后的命令才会显示正确的时间,之前的命令并不会显示正确的时间。
确认了导致文件内容被清空的命令,类似内容如下:
lrwxrwxrwx. 1 root root 6 Jul 22 14:55 wc-link.txt -> wc.txt
通过ls显示详细信息,但是不小心把显示结果当做命令执行,文件是软链接,执行了重定向,结果将文件清空了。
但是并没有最终确认是谁操作的,由于大家都使用相同的用户操作,也没有关联到IP。你有什么好办法?
操作linux终端,通过[Ctrl]+[R]可以匹配查找历史命令。
