首页 > 代码库 > linux 进程审核 记录用户操作记录
linux 进程审核 记录用户操作记录
1,安装psacct
m –y install psacct
2启动服务
/etc/init.d/psacct start
3,激活进程审核
touch /var/log/pact
accton /var/log/pact
[root@localhost ~]# ac
total 324.67
[root@localhost ~]# ac -p
root 324.25
birdman 0.42
total 324.67
[root@localhost ~]# ac -d
Apr 19 total 8.55
Apr 20 total 26.07
Apr 21 total 1.19
Apr 22 total 18.60
Apr 23 total 57.70
Apr 24 total 15.91
Apr 25 total 32.06
Apr 26 total 15.62
Apr 27 total 22.36
Apr 28 total 27.38
May 2 total 19.26
May 3 total 20.55
May 6 total 30.41
May 7 total 13.95
May 8 total 14.32
Today total 0.74
查找用户过去执行的命令
你可以使用lastcomm命令打印出用户过去执行的命令. 你也可以通过用户名, tty名或命令名来搜索以往执行的命令.
lastcomm birdman
lastcomm hostname
lastcomm pts/0
统计记帐信息
你可以使用sa命令打印过去执行命令的统计信息. 另外, sa命令保存了一个叫做savacct文件, 文件包含了命令被调用的次数和资源使用的次数. 而且sa还提供每一个用户的统计信息, 这些信息保存在一个叫做usracct的文件当中.
显示了每一个用户的进程数量和CPU时间数
[root@localhost ~]# sa -u|tail
root 0.00 cpu 1196k mem bash *
root 0.00 cpu 1196k mem bash *
root 0.00 cpu 1086k mem awk
root 0.00 cpu 1196k mem bash *
root 0.00 cpu 1065k mem id
root 0.00 cpu 1196k mem bash *
root 0.00 cpu 962k mem who
root 0.00 cpu 1196k mem bash *
root 0.00 cpu 996k mem date
root 0.00 cpu 1196k mem bash *
[root@localhost ~]# sa -m
786 36.66re 0.04cp 1278k
root 772 36.65re 0.04cp 1078k
postgres 13 0.01re 0.00cp 13110k
sshd 1 0.00re 0.00cp 2144k
找出谁在占用CPU
你可以通过查看re, k, cp/cpu(见上面输出解释)时间来找出可疑的活动, 或某个用户/命令占用了所有的CPU时间. 如果CPU/Memeory使用数(命令)在不断增加, 可以说明命令存在问题.
本文出自 “我是一只小小鸟” 博客,请务必保留此出处http://2242558.blog.51cto.com/2232558/1545330
linux 进程审核 记录用户操作记录