# 查看历史命令
history
# 解决 history 不展示执行时间和操作用户
设置环境变量 export HISTTIMEFORMAT="%F %T `whoami` ",然后再执行history。
# 要求bash立即更新history
history -w
# 清除历史命令、系统日志、登录信息
echo > ~/.bash_history history -c
# 清除登录日志
echo > /var/log/wtmp #清除用户登录记录 echo > /var/log/btmp #清除尝试登录记录 echo > /var/log/lastlog #清除最近登录信息 echo > /var/log/secure #登录信息
# 查看登录日志
登录系统日志: last 或 last -F -f /var/log/wtmp,last -F 带登录时间 当前正在登录系统的用户:w 或 who 或 users 或 last -F /var/run/utpm 带登录时间 ssh登录失败日志: lastb 或 last -F -f /var/log/btmp,lastb -F 带登录时间 登录详细日志: cat /var/log/secure 显示登录详情或攻击详情
# 二进制登录日志转为方本格式
utmpdump /var/log/wtmp >> /tmp/dump_wtmp.txt utmpdump /var/run/utmp >> /tmp/dump_utmp.txt utmpdump /var/log/btmp >> /tmp/dump_btmp.txt
# 查看登录用户和用户组
who -q