該篇用于簡單的業(yè)務(wù)內(nèi)容回溯榜轿,用于排查錯(cuò)誤和檢測是否被入侵亥贸,大神請勿噴= 器虾。=讯嫂!
系統(tǒng)環(huán)境? Centos7
主要用到的命令:
iftop(流量查看工具蹦锋,可以用你自己習(xí)慣的)?
last(用戶登錄列表)?
who(目前登錄的用戶)?
grep(配合管道" | "用于查找文件里符合條件的字符串)
history(查看歷史命令1000條兆沙,注意內(nèi)容是被保存在內(nèi)存中的重啟過服務(wù)器后會(huì)刪除歷史記錄的)
1.首先直觀的查看IP流量我這里用了iftop工具,也可以用自己熟悉的工具
yum install iftop -y
直接 iftop
[root@StrikingOptimistic-VM ~]# iftop
2.打個(gè)比方想查看目前誰在登錄服務(wù)器
[root@StrikingOptimistic-VM ~]# who
root? ? pts/0? ? ? ? 2021-02-01 21:26 (124.XXX.XXX.200)
root? ? pts/1? ? ? ? 2021-02-01 21:26 (124.XXX.XXX.200)
3.查看某個(gè)登錄服務(wù)器的用戶信息
[root@StrikingOptimistic-VM ~]# last |gerp? 124.XXX.XXX.200
root? ? pts/1? ? ? ? 124.XXX.XXX.200? Mon Feb? 1 21:26? still logged in?
root? ? pts/0? ? ? ? 124.XXX.XXX.200? Mon Feb? 1 21:26? still logged in?
root? ? pts/1? ? ? ? 124.XXX.XXX.200? Mon Feb? 1 21:18 - 21:22? (00:03)
4.在使用history命令前先給環(huán)境變量添加上時(shí)間戳好判斷命令操作的時(shí)間
vim /etc/profile? ? ? (vim按i是編輯莉掂,? 先ESC? ?然后:wq是保存)
在最后添加?export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S ?"? ?如下圖?
添加完成后可以 source??/etc/profile 保存執(zhí)行新的環(huán)境變量? 或重新ssh登錄葛圃。
之后用history 查看歷史操作記錄會(huì)可以按照想要的時(shí)間進(jìn)行篩選
[root@StrikingOptimistic-VM ~]# history |grep "2021-02-01 21:40"
? 689? 2021-02-01 21:40:14 history? |grep? "2021-02-01 21:26"
? 690? 2021-02-01 21:40:52 date
? 691? 2021-02-01 21:41:00 history? |grep? "2021-02-01 21:40"
參考鏈接
https://www.cnblogs.com/luruiyuan/p/13335860.html
