Linux伺服器可以記錄歷史執行過的命令，以及最近登入過系統的IP 地址使用Last命令可以查出最近當前哪些IP地址登入過系統[[email protected] ~]# lastroot pts/2 10.254.200.252 Sat Apr 14 15:26 still logged inroot pts/4 10.4.3.76 Fri Apr 13 16:59 - 18:06 (01:07)root pts/2 10.254.200.252 Fri Apr 13 16:54 - 18:05 (01:11)root pts/6 10.254.200.252 Fri Apr 13 11:48 - 11:58 (00:09)root pts/8 10.4.3.76 Fri Apr 13 09:47 - 12:05 (02:17)root pts/7 10.4.3.47 Fri Apr 13 09:32 - 12:18 (02:46)root pts/5 10.4.3.238 Fri Apr 13 09:22 - 20:12 (10:50)root pts/3 10.4.3.226 Fri Apr 13 08:57 - 18:24 (09:27)最上面的一條still logged in表示當前登入還沒有退出，還在繼續使用如果我們想要看到伺服器過去執行過的命令，可以使用histroty命令來檢視[

[email protected] ~]# history 4 2018-03-27 15:40:02ls 5 2018-03-27 15:40:10cd .. 6 2018-03-27 15:40:10ls 7 2018-03-27 15:40:22cd /u01 8 2018-03-27 15:40:26cd /usr如果你的history 命令執行時看不到具體的執行時間，只有執行的命令，你需要進行下面的操作：1.編輯/etc/profile 檔案，再檔案最後末尾加上下面程式碼export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S  "2.重新登入再執行一些命令，然後再執行history命令你就會看到最新執行的這行命令都有對應的時間

再重新登入之前執行的那些命令，時間顯示的都是第一次記錄命令執行的時間，而不是這些歷史命令真正的執行時間。我們也可以使用history | grep 來過濾過不想需要看到的命令，比如說我們要看2018年4月14號都執行了哪些操作，使用下面的命令即可[[email protected] ~]# history | grep '2018-04-14' 1000 2018-04-14 15:26:28last 1001 2018-04-14 15:26:33history 1002 2018-04-14 15:28:10last 1003 2018-04-14 15:30:47history 1004 2018-04-14 15:32:32history | grep '2018-04-14'這樣我們結合last 和history命令就可以看到某個具體的ip地址對我們的伺服器執行了哪些操作，還是以上面為例，執行last命令顯示的第一條資料root pts/2 10.254.200.252 Sat Apr 14 15:26 still logged in顯示10.254.200.252 這個IP地址是在 15:26登入的，並且還沒有退出登入，那我們使用history | grep 檢視得知，在15:26以後執行的命令有 1000 2018-04-14 15:26:28 last 1001 2018-04-14 15:26:33 history 1002 2018-04-14 15:28:10 last 1003 2018-04-14 15:30:47 history

這樣我們就可以知道IP地址10.254.200.252這個使用者對我們的伺服器進行了那些操作