[Linux] 어떤 사용자가 언제 무슨 작업을 했는지 확인방법(로그 확인)

 

1. lastlog

lastlog는 /etc/passwd 파일에 정의되어 있는 시스템의 모든 계정 정보와 /var/log/lastlog 파일에 기록되어 있는 시스템 로그 파일을 분석하여 사용자의 마지막 시간,호스트 명, 포트를 출력하는 명령이다.

# lastlog
# lastlog -u jslee

옵션 설명
-u : 지정한 해당 계정의 마지막 접속 정보만 출력한다.

 

2. history

로그인한 사용자가 작업했던 command를 확인할 수 있다. 로그인한 순간부터의 입력한 command는 버퍼에 기록되며, 로그아웃 시 버퍼에 기록된 history를 ~/.bash_history 파일에 추가 기록이 된다.

# history

 

 

3. HIST 변수(HISTTIMEFORMAT) 를 적용하여 명령어를 입력한 시간까지 아는 방법

vi /etc/profile

# Add timestamp to .bash_history
HISTTIMEFORMAT="%Y-%m-%d_%H:%M:%S "
export HISTTIMEFORMAT

맨 아래의 위와 같은 라인을 추가 후 ssh로 재로그인을 하면 연/월/일/시분/초의 시간 정보를 확인할 수 있다.

 

4. /var/log/messages 확인

cat /var/log/messages | grep root

sudo su - 명령어를 통해 root 전환을 하였는지 확인