Linux下追踪操作历史与记录日志.（linux记录操作日志）

面对大量来自远程登录用户的操作，如何在Linux系统中历史追踪与日志记录，都是有效的安全管理手段。成功登录系统后，可以使用下列命令来记录操作历史：

1、使用history命令可以查看登录系统的用户的操作历史记录：

history

2、使用last去查看登录系统的用户的最近活动：

last

3、查看系统上运行的进程，有助于追踪活动的历史：

ps aux

4、使用du和df命令来检查系统当前的文件系统：

du -sh

df -h

5、使用lsof 系统命令查看当前系统上打开的文件：

lsof

6、用stat查看文件信息，追踪活动的历史记录：

stat /etc/passwd

7、使用netstat命令查看当前系统上的网络端口，telnet服务：

netstat -tulpn

此外，debian/ubuntu系统有一个apt升级的日志记录/var/log/apt/history.log，可在此查看安装/更新/删除的软件记录，如下：

cat /var/log/apt/history.log

在Linux系统中，可以查看系统各类日志，日志类型有：

1、/var/log目录下的各类系统日志，比如：/var/log/messages日志（全局日志），/var/log/syslog日志（安装系统时，发出警报声音），/var/log/secure日志（SSH服务器日志）。

2、/var/log/Xorg.0.log文件（X window系统），/var/log/XFree86.0.log文件（X应用程序的状态和错误信息），/var/log/boot.log文件（启动引导日志）。

3、/var/log/dpkg.log文件（软件安装与卸载日志），/var/log/faillog文件（登录失败时记录的日志），/var/log/lastlog文件（每个用户上次登录的时间戳），/var/log/wtmp文件（每次登录系统的日志），/var/log/utmp文件（活动的登录用户记录）。

通过上述几个步骤，Linux系统的追踪操作历史与记录日志就可以解决了，从而有助于安全管理以及审计操作的完整性。