可以用lastcomm命令显示用户(root和非root)在本主机执行了哪些命令,设置步骤:
1.#vi /etc/rc2.d/S99acctadm
acctadm -e basic -f /var/adm/exacct/proc process //每次系统启动时自动启动系统帐户管理进程
保存退出
2.#chmod 755 /etc/rc2.d/S99acctadm
3.#/etc/rc2.d/S99acctadm
4.#lastcomm
...
sh root pts/4 0.00 secs Thu Apr 7 11:43
grep root pts/4 0.00 secs Thu Apr 7 11:43
in.telne root __ 0.01 secs Thu Apr 7 11:32
sh S guo2 pts/6 0.04 secs Thu Apr 7 11:32
lastcomm root pts/5 0.04 secs Thu Apr 7 11:33
more root pts/5 0.01 secs Thu Apr 7 11:32
df guo2 pts/6 0.00 secs Thu Apr 7 11:32
mail guo2 pts/6 0.01 secs Thu Apr 7 11:32
...
显示的命令是系统缓存中记取的所有命令,系统缓存会在/var/tmp目录下建立一个临时文件记录历史命令!系统重启后该文件也会被删除!
5.使用lastcomm时建议把其输出放进一个文件里然后下传下来检查!
#lastcomm > /tmp/lastcomm.log
6.参考:lastcomm命令,acctadm命令