linux系统操做审计-让history内容更丰富

不知道做为运维的你有没有体会过这样一种状况：

当某天你的服务器发生异常状况，例如某个文件莫名被删除了，或者某个文件被人私自篡改，甚至是发生安全事件等等，这时你的经理找到你要你查个水落石出，因而你想看看history里有没有一些异常的操做，当你在终端里敲完history命令以后，看到的结果，却敌我难分，例如某个rm -rf的操做究竟是本身人作的操做仍是有人未经赞成作得操做呢，此时的结果看不到详细的信息，只能看到操做的指令，可是你很想看这些指令究竟是在何时执行的，哪一个用户执行的，哪一个终端执行的，甚至是终端的ssh远程IP是多少等等，遇到这些状况你可能在一阵噼里啪啦以后束手无策，不知道从何下手。可是别担忧，今天给你们推出解决方案:

注意事项(必读)：

• 此方案会致使全部存在的历史记录变成当前日期的时间，若是大家决定忽略之前的历史记录，那么建议先敲history -c清空历史记录，再按照如下步骤实施就是了。
• 建议新机器第一件事就是部署该方案

1，编辑/etc/profile

在文件内容末尾添加以下内容:

1 w -uh>$HOME/.cache_tty;grep "`tty|cut -d '/' -f3,4`" $HOME/.cache_tty|awk '{print $3}'>$HOME/.cache_tty_ip
2 export HISTTIMEFORMAT="`whoami` `tty|cut -d '/' -f3,4` $(w -uh>$HOME/.cache_tty;grep "`tty|cut -d '/' -f3,4`" $HOME/.cache_tty|awk '{print $3}') %F %T "

示例图:

 

2，保存退出而后敲history命令验证是否生效：

1 history

以下图能够看出已经生效: