在 Linux 系統(tǒng)中,acct(accounting)模塊用于記錄用戶登錄���、注銷����、運行命令等信息
-
首先���,確保 acct 模塊已經(jīng)安裝并啟用���。在大多數(shù)發(fā)行版中�����,它通常作為 psacct 或 acct 軟件包提供���。要安裝它,請使用以下命令:
對于基于 Debian 的系統(tǒng)(如 Ubuntu):
sudo apt-get install psacct
對于基于 RHEL 的系統(tǒng)(如 CentOS):
sudo yum install psacct
-
確認 acct 模塊是否已加載���。運行以下命令:
lsmod | grep acct
如果輸出中顯示了 acct 模塊����,那么它已經(jīng)加載����。如果沒有,請運行以下命令加載 acct 模塊:
sudo modprobe acct
-
現(xiàn)在�����,你可以使用 lastcomm 命令查看 acct 日志文件���。這個命令會顯示所有用戶運行過的命令及其運行時間���。運行以下命令:
lastcomm
你還可以使用以下選項來定制輸出:
-u:指定用戶名����,只顯示該用戶的命令���。-n:指定要顯示的命令數(shù)量。-f:顯示完整的命令行���。-d:按日期排序�����。-e:顯示命令結束時間����。
例如���,要查看用戶 “john” 運行過的最后 5 個命令����,可以運行:
lastcomm -u john -n 5
-
若要停止記錄 acct 日志����,請運行以下命令卸載 acct 模塊:
sudo modprobe -r acct
請注意�����,acct 日志文件通常位于 /var/log/account 或 /var/run/utmp����。然而����,在使用 lastcomm 命令時,你不需要直接訪問這些文件����,因為該命令會自動處理它們。
