在 Linux 系統中,acct(accounting)模塊用于記錄用戶登錄、注銷、運行命令等信息
首先,確保 acct 模塊已經安裝并啟用。在大多數發行版中,它通常作為 psacct 或 acct 軟件包提供。要安裝它,請使用以下命令:
對于基于 Debian 的系統(如 Ubuntu):
sudo apt-get install psacct
對于基于 RHEL 的系統(如 CentOS):
sudo yum install psacct
確認 acct 模塊是否已加載。運行以下命令:
lsmod | grep acct
如果輸出中顯示了 acct 模塊,那么它已經加載。如果沒有,請運行以下命令加載 acct 模塊:
sudo modprobe acct
現在,你可以使用 lastcomm 命令查看 acct 日志文件。這個命令會顯示所有用戶運行過的命令及其運行時間。運行以下命令:
lastcomm
你還可以使用以下選項來定制輸出:
-u:指定用戶名,只顯示該用戶的命令。-n:指定要顯示的命令數量。-f:顯示完整的命令行。-d:按日期排序。-e:顯示命令結束時間。例如,要查看用戶 “john” 運行過的最后 5 個命令,可以運行:
lastcomm -u john -n 5
若要停止記錄 acct 日志,請運行以下命令卸載 acct 模塊:
sudo modprobe -r acct
請注意,acct 日志文件通常位于 /var/log/account 或 /var/run/utmp。然而,在使用 lastcomm 命令時,你不需要直接訪問這些文件,因為該命令會自動處理它們。
