linux系統操做審計-讓history內容更豐富

不知道做爲運維的你有沒有體會過這樣一種狀況：

當某天你的服務器發生異常狀況，例如某個文件莫名被刪除了，或者某個文件被人私自篡改，甚至是發生安全事件等等，這時你的經理找到你要你查個水落石出，因而你想看看history裏有沒有一些異常的操做，當你在終端裏敲完history命令以後，看到的結果，卻敵我難分，例如某個rm -rf的操做究竟是本身人作的操做仍是有人未經贊成作得操做呢，此時的結果看不到詳細的信息，只能看到操做的指令，可是你很想看這些指令究竟是在何時執行的，哪一個用戶執行的，哪一個終端執行的，甚至是終端的ssh遠程IP是多少等等，遇到這些狀況你可能在一陣噼裏啪啦以後束手無策，不知道從何下手。可是別擔憂，今天給你們推出解決方案:

注意事項(必讀)：

• 此方案會致使全部存在的歷史記錄變成當前日期的時間，若是大家決定忽略之前的歷史記錄，那麼建議先敲history -c清空歷史記錄，再按照如下步驟實施就是了。
• 建議新機器第一件事就是部署該方案

1，編輯/etc/profile

在文件內容末尾添加以下內容:

1 w -uh>$HOME/.cache_tty;grep "`tty|cut -d '/' -f3,4`" $HOME/.cache_tty|awk '{print $3}'>$HOME/.cache_tty_ip
2 export HISTTIMEFORMAT="`whoami` `tty|cut -d '/' -f3,4` $(w -uh>$HOME/.cache_tty;grep "`tty|cut -d '/' -f3,4`" $HOME/.cache_tty|awk '{print $3}') %F %T "

示例圖:

 

2，保存退出而後敲history命令驗證是否生效：

1 history

以下圖能夠看出已經生效: