全てのコマンド履歴を残す2011/07/11

acctonで全てのコマンド履歴を残します。コマンド履歴は各々のユーザーの history にも残りますが、それらはユーザー自身で変更や削除ができてしまいます。よって、管理者権限のみアクセス可能な履歴を別途取得し、何かあったときに追跡しやすいようにします。

ただし、ログにはコマンドのみで、引数までは記録されないので、これだけでは、誰がいつ何をしたか？の特定は不可能です。inotifyのログ等と合わせてみれば少しはマシになるかもしれません。

[1]

accton は psacct パッケージに含まれます。インストールされていない場合はインストールしてください。

[root@dlp ~]#

yum -y install psacct

[2]	psacctの起動は以下のようにするだけです。これにより全てのコマンド履歴が残ります。

[root@dlp ~]#

/etc/rc.d/init.d/psacct start

Starting process accounting: [ OK ]
[root@dlp ~]#

chkconfig psacct on

[3]	コマンド履歴のログはバイナリファイルとなっているので、専用のコマンドで内容を出力します。

[root@dlp ~]#

lastcomm

su               S     root     ttyS0      0.02 secs Fri Sep 30 19:18
bash             S     cent     ttyS0      0.00 secs Fri Sep 30 19:18
cat                    cent     ttyS0      0.00 secs Fri Sep 30 19:18
ls                     cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
.....
.....
systemctl        S     root     ttyS0      0.01 secs Fri Sep 30 19:18
pkttyagent           X root     ttyS0      0.00 secs Fri Sep 30 19:18
systemd-tty-ask        root     ttyS0      0.00 secs Fri Sep 30 19:18
systemd-cgroups  S     root     __         0.00 secs Fri Sep 30 19:18
accton           S     root     __         0.00 secs Fri Sep 30 19:18

[4]	ユーザーを指定する場合は「--user」オプションをつけます。

[root@dlp ~]#

lastcomm --user cent

bash             S     cent     ttyS0      0.00 secs Fri Sep 30 19:18
cat                    cent     ttyS0      0.00 secs Fri Sep 30 19:18
ls                     cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
consoletype            cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
dircolors              cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
tput                   cent     ttyS0      0.00 secs Fri Sep 30 19:18
tty                    cent     ttyS0      0.00 secs Fri Sep 30 19:18
grepconf.sh            cent     ttyS0      0.00 secs Fri Sep 30 19:18
grep                   cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
id                     cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
id                     cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
hostname               cent     ttyS0      0.00 secs Fri Sep 30 19:18
bash              F    cent     ttyS0      0.00 secs Fri Sep 30 19:18
id                     cent     ttyS0      0.00 secs Fri Sep 30 19:18

[5]	コマンドを指定する場合は「--command」オプションをつけます。

[root@dlp ~]#

lastcomm --command vim

vim cent ttyS0 0.06 secs Mon Jul 11 21:29