acct 是 Linux 系統中的一個用戶活動監控工具,它可以記錄用戶登錄、注銷、運行命令等活動
安裝 acct:
在某些 Linux 發行版上,acct 工具可能需要單獨安裝。例如,在 Debian 和 Ubuntu 系統上,你可以使用以下命令安裝:
sudo apt-get install acct
啟用 acct:
要啟用 acct,你需要編輯 /etc/default/acct 文件。將 ACCT_ENABLE=no 更改為 ACCT_ENABLE=yes,然后保存并關閉文件。接下來,重啟系統或者運行 sudo systemctl restart acct 以應用更改。
查看用戶活動:
要查看用戶活動,你可以使用 lastcomm 命令。這將顯示所有已記錄的命令及其運行時間。例如:
lastcomm
要查看特定用戶的活動,你可以使用 -u 選項,例如:
lastcomm -u username
實時監控用戶活動:
要實時監控用戶活動,你可以使用 sa 命令。例如,要查看過去 10 分鐘內的用戶活動,你可以運行:
sa -m -d -10
要查看特定用戶的活動,你可以使用 -u 選項,例如:
sa -m -d -10 -u username
分析用戶活動:
要分析用戶活動,你可以使用 sar 命令。例如,要查看過去 7 天內的用戶活動,你可以運行:
sar -f /var/log/sysstat/sa$(date +%d -d yesterday)
要查看特定用戶的活動,你可以使用 -u 選項,例如:
sar -f /var/log/sysstat/sa$(date +%d -d yesterday) -u ALL
通過這些方法,你可以使用 acct 工具監控 Linux 系統上的用戶活動。請注意,這些命令可能因 Linux 發行版而異,因此你可能需要根據你的系統進行調整。
