Linux日志审计 常用命令 find、grep 、egrep、awk、sed Linux 中常见日志以及位置 位置 名称 /var/log/cron 记录了系统定时任务相关的日志 /var/log/auth.log...记录验证和授权方面的信息 /var/log/secure 同上,只是系统不同 /var/log/btmp 登录失败记录 使用lastb命令查看 /var/log/wtmp 登录失成功记录 使用last...命令查看 /var/log/lastlog 最后一次登录 使用lastlog命令查看 /var/run/utmp 使用 w、who、users 命令查看 /var/log/auth.log、/var/...log/secure记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 常用审计命令 //定位多少
Linux会保存用户的历史指令 历史指令保存在用户目录下的.bash_history文件(历史记录文件)中,并且每条指令都用时间戳的形式记录了执行时刻 当用户通过shell进入Linux系统时,Linux...+d)时,shell进程会自动将历史记录缓存区中的所有历史记录写入到.bash_history中 查看历史缓冲区 history #查看历史记录缓存区中保存的历史指令 从最开始到现在为止 通过键盘上下键快捷查看历史缓冲区...如果想主动保存缓冲区的历史记录,执行 -w 选项即可 清除历史缓冲区 history -c #清除历史缓冲区 历史缓冲区写入.bash_history其实就是用新内容覆盖掉原有内容,所以清除历史缓冲区就是清除本次登录用户时的所有操作的记录...,不会删除之前的历史记录 重复执行缓冲区历史指令 !...#重复执行上一条命令 搜索历史命令 快捷键:ctrl + r # 输入残缺指令,搜索对应完整历史指令
1.history命令 命令可以查看执行过的历史命令。...其命令格式为: [root@shell ~]# history[n] [root@shell ~]# history [-c] [root@shell ~]# history [-raw] historyfiles...正常情况下,Linux中历史指令的读取和存储过程如下: 以bash登录Linux后,系统从HOME目录中的~/.bash_history文件读取历史指令 .bash_history中存放的指令数由HISTFILESIZE...变量设定 当前shell中的历史指令会在注销的时候写入~/.bash_history文件 history -w可以强制立刻写入 3....历史指令的使用(重要) 历史指令可以结合以下指令配合: !number:执行第number个指令 !command:由最近的指令向前搜寻指令串开头为command的指令,并执行 !!
命令审计 1、 创建审计日志文件存放目录: [root@Centos-1 ~]# mkdir -p /tmp/logs/host_log 2、 更改目录权限使其可写、防删除: [root@Centos...1 ~]# chmod +t /tmp/logs/host_log 3、 编辑/etc/profile,在文件最后增加如下: [root@Centos-1 ~]# vim /etc/profile #命令审计
-n 重复n个命令之前的那个命令 2、按键组合 使用up和down键来上下浏览之前执行的命令 键入ctr+r来在命令历史中搜索命令 代码如下: [root@jb51 Desktop]# (reverse-i-search...查找以特定字开头的历史命令并执行 比如曾经执行的命令: du wordpress.tar.gz 执行以下命令即可重新执行du开头的历史指令。 [root@zcwyou ~]# !du 7....修改历史命令的保存数量 比如设置只能保存100条历史记录: [root@zcwyou ~]# vi ~/.bash_profile linux修改历史命令的保存数量 修改以下两行内容: HISTSIZE...使用HISTCONTROL来清除命令历史中的连续重复条目 比如连续三次输入命令 ll 9....清除历史命令 使用选项-c [root@zcwyou ~]# history -c 12.
history [选项] [历史命令保存文件] history : 打印历史命令 选项: -c : 清空历史命令 -w : 把缓存中的命令写入历史命令保存文件~/.bash_history 历史命名文件...历史命令(环境变量)配置文件/etc/profile 历史命令 默认保存1k条,可以在环境变量配置文件/etc/profile中修改 HISTSIZE=xxx 历史命令 默认保存文件修改 HISTFILE...=/path/FILENAME 历史命令 剔除连续重复的条目 HISTCONTROL=ignoredups 历史命令 忽略指定命令HISTIGNORE=”pwd:ls:cd:” 历史命令 格式化输出...HISTTIMEFORMAT=’%F %T ’ ,bt只能输出设置生效之后的 Ctrl + R 检索历史命令 直接键入想要查询的命令,进行动态模糊查询:直接回车可以执行 历史命令的调用 使用上下箭头调用以前的历史命令...n 重复执行第n条历史命令 使用 !! , !-1 重复执行上一条命令 Ctrl+p+enter亦可 使用 !
前段时间学习群中有朋友在询问线上 Linux 主机的命令行操作审计方案时,当时给了一个用 rsyslog + elasticsearch 的方案简单搪塞过去了,并没有对方案的细节进行说明。...首先,当谈到 Linux 的操作审计需求时,大多数我们希望的是还原线上服务器被人为(误)操作时执行的命令行,以及它关联的上下文。...Linux 部分 准备一些必要的工具 rsyslog: 一个Linux上自带并兼容 syslog 语法的日志处理服务 jq: 一个在 shell 下处理 json 数据的小工具 logger: 一个可以往...DEBUG" declare -rx BASH_COMMAND declare -rx SHELLOPT trap AUDIT_EXIT EXIT 简单说明下这个脚本,大致就是定义了 shell 的历史条目...,也可以依此对 Linux命令行审计做可视化的二次开发。
Linux重新执行某个历史命令 0.前置芝士 1.Linux重新执行某个历史命令 ---- ---- 0.前置芝士 ❝Linux执行过的命令存储在家目录下的.bash_history文件中 ❞ 1....Linux重新执行某个历史命令 ❝众所周知,使用上下方向键可以执行当前窗口之前执行过的命令,但是使用方向键翻找历史命令就显得很不方便。...❞ 此时使用以下步骤,即可快速重新执行之前的命令 查看历史命令「history」 history n : 显示n条最近的历史命令 [root@node01 ~]$ history 10 1005 ls...start-dfs.sh 1011 ps -ef | grep mysql 1012 top 1013 ps -ef | grep redis 1014 hadoop fs -ls / 重新执行命令
Linux下执行了一些命令之后,可能还想再次执行,有没有什么方法快速执行呢?...找出历史命令并执行 第一种方法比较传统,使用history命令或者fc -l命令列出历史命令: $ fc -l 1997 ablc 1998 exit 1999 find -name..."" 2000 exit 我们注意到,列出的历史命令前有一个数字,其实要想执行某个特定历史命令,只需要!...的更多用法可以参考《Linux中!的惊叹用法》 命令搜索 按下: ctrl + r 就可以搜索历史执行的命令啦。 总结 一张图说明: ?
linux下历史命令通常有两大用处,一个是快速复用,另外是审计,快速复用在之前的文章linux命令行技巧中提过,有兴趣的可以去看看,今天主要说审计部分,分两部分:记录历史命令和隐藏命令行历史,分别针对运维防护及入侵渗透...,下面分别介绍 记录所有用户历史命令 原本的linux默认记录1000条历史记录,且只记录命令,完全没办法做审计,当遇到服务器入侵等情况,做审计工作时,如果你没有开启audit,或其他第三方审计工具,在通过...history做审计的时候,即便命令不被清除,你也只能看到历史命令,看不到其他任何信息,审计很不方便 这边直接上代码 PS1="`whoami`@`hostname`:"'[$PWD]' history...这样在后期做审计的时候,可以很快速的找到某用户某时间的历史命令 如果需要记录哪条命令是哪个时刻执行的,需要自定义HISTTIMEFORMAT,添加时间在命令之前 或者觉得上面的方法比较复杂,那你就直接用...或者通过上下键翻找历史命令,通过Ctrl+U来清除当前行的记录 ? 不过这种方式会留个小马脚 ok,以上就是今天要介绍的linux下命令历史记录的保存及隐藏方式
在linux系统里一旦操作了任何命令,都会被记录下来,可以通过history命令来查看历史命令, 查看手册可知history -c 便是清除历史命令,但是重新进入系统查看历史命令时,历史信息依然会存在...linux中存放历史命令的文件是.bash_history, 清空该文件(echo > /root/.bash_history),那些历史命令就会被清空了。...注意如果是在shell脚本中调用history -c清空当前shell的历史命令,是不会成功的,因为bash执行命令时 默认是会产生一个子进程来执行该命令,在子进程中执行history -c不是清除你当前...shell的历史命令了。.../脚本),source 指在当前bash环境下执行命令 如果想清楚当前shell的历史记录使用命令 history -c 命令 如果要删除所有的历史记录,删除~/.bash_history 文件就可以
在使用云服务器和vps主机的过程中,很重要的一点就是服务器安全,除了要做好服务器安全防护外,分析日志和查看记录也是必须要做的,今天就介绍一个查看linux登录记录的命令 last。...last命令可以显示出前面登录的信息,last是linux自带的,直接在命令行执行last就可以了 ?...执行完毕就会显示出许多记录,其中参数分别为登录的用户root,终端,登录ip,登录的时间和结束时间,登录总时长 reboot表示执行了重启命令,使用 last reboot 还可以找出所有的重启的记录
1.History命令说明 history命令用于显示指定数目的指令命令,读取历史命令文件中的目录到历史命令缓冲区和将历史命令缓冲区中的目录写入命令文件。...BASH 将关闭 终端会话时所运行的所有命令,并写入你的历史记录文件。...~/.bash_history 当你同时运行两个会话的时候,history 命令将单独显示当前的会话记录,而不会显示其他的历史会话记录。...如何查阅最后的“ n ”命令 默认情况下,history 命令显示我们执行的最后1000条命令。如果你只想列出“ n ”个命令,请使用以下命令。 例如,显示最近的10个历史记录,请运行以下命令。...$ history 10 按条件搜索历史命令 $ history | grep rm $ history | tail -2 清除历史 1.如果想要删除特定命令,请输入 :history -d 2.要清空全部历史记录
查看历史命令,并执行指定命令 owen@owen:~/owen/software/nginx-1.10.1$ history | grep 'configure' 1083 ....1.0.2m --with-http_ssl_module --add-dynamic-module=/home/owen/owen/project/src/ngx_my_test_study 以上这篇Linux...查看历史命令并执行的方法就是小编分享给大家的全部内容了,希望能给大家一个参考。
一、history 该命令可以查看使用过的历史命令 ?...二、history -c 该命令和参数可以清空history历史命令记录 再次查看 命令记录已经为空 备注:知识扩展 这个命令只删除当前用户的命令记录,不会删除其它用户的。...比如:vim ~/.bash_history 打开当前用户下的历史命令记录文件。 cat 或者 vim ~/.bash_history 查看该文件内容
命令历史 history //查看之前的命令 .bash_history //存放之前敲过的命令,在 /root/ 目录下 最大1000条 //默认参数值是1000...echo 表示会在命令历史里面,倒着网上找第一个执行以 echo 开头的命令 查看敲过的命令存放位置 在我们使用过的命令,会存放在用户的家目录下 /root/.bash_history [root...4 ping www.baidu.com 5 yum install -y net-tools 6 ifconfig history命令中最多存放1000条历史命令 history...localhost ~]# 有时敲命令的时候,会出来更多的数值 这是因为 还没有真正的写入到文件中去,这些命令临时存放在内存中 history -c //把当前内存里面命令历史给清空...表示执行最后一条命令 !n 表示运行第几条命令(n表示数字) !echo 表示会在命令历史里面,倒着网上找第一个执行以 echo 开头的命令
0x01 Linux 审计工具介绍实践 描述: Linux 审计系统提供了一种方式来跟踪系统上与安全相关的信息。根据预配置的规则,审计会生成日志条目,来尽可能多地记录系统上所发生的事件的相关信息。...0.auditd 命令 - 审计守护进程 描述: auditd 是 Linux 审计系统的用户空间组件, 该守护进程它负责将审计记录写入磁盘,我们可以使用 ausearch 或 aureport 实用程序查看审计日志...命令可以生成审计信息的报表,必须以 root 用户执行,如果执行 aureport 命令时没有使用任何选项,那么会显示汇总报表。...ausearch -k audit-temp | aureport -f -i 4.auditspd 命令 - 转发事件通知给其他应用工具 描述: audispd 是 Linux 审计框架中的一个守护进程...5.autrace 命令 - 一个用于跟踪进程的命令 描述: autrace 是 Linux 中的一个命令行工具,用于跟踪进程的系统调用,它可以帮助你分析程序在运行时的系统调用情况,对于调试和了解程序行为非常有用
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/100342.html原文链接:
history命令:用于显示历史记录和执行过的指令命令,可以使用符号!执行指定序号的历史命令。例如,要执行第2个历史命令,则输入!2。...语法: history(选项)(参数) 选项: -N: 显示历史记录中最近的N个记录; -c:清空当前历史命令; -a:将历史命令缓冲区中命令写入历史命令文件中; -r:将历史命令文件中的命令读入当前历史命令缓冲区...; -w:将当前历史命令缓冲区命令写入历史命令文件中; -d:删除历史记录中第offset个命令 -n:读取指定文件 实例: #查看历史执行记录 history #查看历史执行记录...10 #执行历史记录第 10 条命令 !! #执行上一条命令 显示执行历史记录时间: 1、默认情况下,history并不记录命令的执行时间,分析起来很困难。...4、用Ctrl+R搜索历史命令;当你执行了一串相当长的命令之后,你只要用关键字搜索一下历史命令然后重新执行这条命令而不需要将整条命令再输一遍。方法是:按下Ctrl+R然后输入关键字。
wtmp #此时即查不到用户登录信息 last 清除登陆系统失败的记录 #此文件默认打开时乱码,可查到登陆失败信息 echo > /var/log/btmp #查不到登陆失败信息 lastb 清除历史执行命令...#清空历史执行命令 history -c #或清空用户目录下的这个文件即可 echo > ./.bash_history 导入空历史记录 #新建记录文件 vi /root/history #清除记录
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
