Linux日志查看：记录Linux命令执行历史 (怎么查看linux执行了哪些命令)

在Linux系统中，日志记录是非常重要的，可以帮助我们查找和修复出现的问题。其中，命令执行历史日志更是不可或缺，它能够帮助我们查看用户在系统中执行的每一个命令，以及命令执行过程中的错误信息。

本文将介绍如何查看Linux命令执行历史，并对其中涉及到的日志文件进行讲解。

一、查看命令执行历史

1. 查看当前用户的命令执行历史

在Linux系统中，我们可以通过history命令查看当前用户最近执行的命令列表。只需要在终端输入history命令即可。

命令格式：

history

该命令将输出当前用户最近执行的命令列表，列表格式如下：

1 ping www.bdu.com

2 ls

3 cd /var/log

4 sudo systemctl status sshd

5 cat /etc/passwd

6 uname -a

其中，左侧数字为命令的执行序号，右侧为具体执行的命令。可以根据需要查看或搜索某一个命令的执行记录。

2. 搜索命令执行历史

我们也可以通过在history命令后添加搜索关键字，来查找包含该关键字的命令执行记录。命令格式如下：

history | grep keyword

其中，keyword为要搜索的关键字，该命令将输出包含该关键字的所有命令执行记录。

3. 清除命令执行历史

如果您想要清除所有历史命令记录，则可以使用下面的命令：

history -c

该命令将清除所有历史命令记录，包括当前会话和其他会话中的记录。

二、命令执行历史日志文件

除了使用history命令以外，我们还可以通过查看命令执行历史日志文件来获取更详细的信息。在Linux系统中，命令执行历史记录存储在几个不同的日志文件中。下面是一些常见的日志文件及其作用：

1. 用户命令执行历史

用户命令执行历史记录存储在~/.bash_history文件中。该文件包含了当前用户在终端中输入的所有命令及其执行时间。

您可以使用cat命令查看该历史记录文件：

cat ~/.bash_history

您也可以使用echo命令将某一个命令追加到历史记录中：

echo ‘your command’ >> ~/.bash_history

2. shell日志

shell日志记录了一个用户打开和关闭shell会话的时间戳以及在该会话中执行的命令。该日志文件通常存储在/var/log/目录下。

例如，在Ubuntu和Debian系统中，shell日志文件为/var/log/auth.log。

可以通过以下命令查看该日志文件：

cat /var/log/auth.log

当用户使用sudo执行命令时，它也会被记录在该日志文件中。

3. syslog日志

syslog记录了系统上的各种进程和服务的活动，包括命令执行记录。在Ubuntu和Debian系统中，syslog日志文件通常存储在/var/log/syslog或/var/log/messages中。

您可以使用以下命令来查看syslog文件：

cat /var/log/syslog

在syslog日志文件中，每一条记录将包含以下信息：

– 时间戳

– 主机名

– 进程ID

– 消息级别

– 消息内容

其中，命令执行记录通常被记录在“auth”或“authpriv”标签下。

4. audit日志

audit日志是一种内核审计框架，它可以记录系统上所有命令的执行情况。在Ubuntu和Debian系统中，audit日志文件通常存储在/var/log/audit/目录下。

您可以使用以下命令来查看audit文件：

sudo ausearch -c ‘your command’

其中，”your command”为要查找的命令。该命令将输出该命令的执行记录。

在Linux系统中，命令执行历史记录非常重要，它可以帮助我们追踪和修复问题，以及监控用户活动。通过使用history命令和各种日志文件，我们可以方便地查看命令执行历史记录。请记住，在记录日志文件之前，为了保护隐私，应该避免在终端中输入机密信息，例如密码。