linux记录每个用户执行的命令

1.在/etc/profile中添加如下代码:

#history
USER_IP=`who -u am i >/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
HISTDIR=/usr/share/.history
if [ -z $USER_IP ]
then
USER_IP=`hostname`
fi
if [ ! -d $HISTDIR ]
then
mkdir -p $HISTDIR
chmod  $HISTDIR
fi
if [ ! -d $HISTDIR/${LOGNAME} ]
then
mkdir -p $HISTDIR/${LOGNAME}
chmod  $HISTDIR/${LOGNAME}
fi
export HISTSIZE=
DT=`date +%Y%m%d_%H%M%S`
export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT"
export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]"
chmod  $HISTDIR/${LOGNAME}/*.history* 2>/dev/null 

2.在/etc/bashrc中添加如下代码:

#history
USER_IP=`who -u am i >/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
HISTFILESIZE=
HISTSIZE=
HISTTIMEFORMAT="%F %T ${USER_IP} `whoami` "
export HISTTIMEFORMAT  

最终效果:

　　这段脚本的作用是把每个用户执行的命令记录在/usr/share/.history下以用户名命名的目录下，历史记录文件名根据用户ip和时间命名。打开/usr/share/.history目录会发现里边保存了之前记录的历史命令文件。

　　命令是记录了，但从安全角度讲，如果他清楚，所有操作均记录了的话，是可以进入日志记录目录，进行文件删除或文件修改的，于是需要将这些文件及时传到日志收集服务器中，最好是作一个后台实时监控进程，该目录下有文件变化的话，直接触发同步操作，把文件及时同步到日志收集服务器，网上也有人把所有记录实时通过日志进程syslog，把日志实时发至日志服务器中。