http://www.drk7.jp/MT/archives/000988.html
実行コマンドのログをとる方法は以下の5つが考えられます。
*sudo を使って実行ログをとる
*.bash_history を定期的にバックアップして実行ログとして保存する
*script コマンドを使うことで実行ログ(画面出力のコピー)をとる
*システムアカウンティング機能(psacct)を有効にして実行ログをとる
*実行シェルを改造し、ログを保存するようにする
問題点
*sudo の場合 → sudo -s で抜け道がある。
*.bash_history の場合 → 実行ユーザが .bash_history を削除できる
*script コマンドの場合 → 実行ユーザがログファイルを削除できる
*システムアカウンティング機能(psacct)の場合 → 余分な情報が多すぎ
*実行シェルを改造し、ログを保存するようにする → 実装が難しい
!!!history
history に日時を残すには
export HISTTIMEFORMAT='%F %T '
を .bash_profile あたりに追加する
!!!psacct
無難そうなpsacctの使い方
yum install psacct
chkconfig --level 2345 psacct on
!!使用頻度確認
sa -m
!!コマンドの履歴確認
lastcomm
lastcomm --user ユーザー名
lastcomm --command vim
とか
!!ログの場所
/var/account/pacct
{{category2 OS,Linux}}